中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Rocke黑客組織活動實例分析

發布時間:2021-12-24 10:47:50 來源:億速云 閱讀:195 作者:柒染 欄目:網絡安全

本篇文章給大家分享的是有關Rocke黑客組織活動實例分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

Rocke組織概況

Rocke活動最初于2018年8月報道。Rocke最初專注于Linux的Xbash工具,該工具是一款數據破壞惡意軟件。 Xbash通過利用目標未修補的漏洞進行攻擊,然后使用弱密碼進行橫向擴展。當Rocke攻擊一個組織時,它要求受害者支付0.2,0.15或0.02比特幣(BTC)來恢復丟失的數據。但由于Xbash在勒索贖金之前刪除了數據庫表,因此Rocke無法恢復任何數據。Rocke的BTC錢包包含48筆轉賬,包含0.964 BTC。

Rocke攻擊流程

該組織的第一個加密腳步是用Python編寫的,并使用Pastebin、GitHub作為下載第一階段有效payload的平臺。截至2019年3月12日,Rocke也開始使用Golang。第一階段payload引導受害者連接到Rocke域或IP地址,觸發第二階段payload的下載。

該組織有12步操作的特點,自Rocke首次報道以來,該風格保持一致:

1、攻擊者將第一個有效負載上傳到第三方站點(例如,Pastebin,GitHub)

2、引誘受害者導航到Pastebin / GitHub(例如,魚叉式網絡釣魚)

3、利用已知漏洞(例如,Oracle WebLogic,Adobe ColdFusion,Apache Struts)

4、受害者下載后門(例如,Shell Scripts,JavaScript Backdoor)

5、受害者通過Python或Golang腳本運行第一個payload并連接到C2服務器

6、下載并執行第二個payload,獲得對系統的管理訪問權限

7、通過cron作業命令建立持久控制

8、搜索并殺死以前安裝的加密進程

9、添加“IPtables”規則以阻止未來進行的加密過程

10、卸載基于代理的云安全工具(例如,騰訊云,阿里云)

11、下載并安裝Monero挖礦軟件

12、隱藏進程

Rocke基礎架構

Rocke通過硬編碼IP地址,URL地址、域名注冊與受害人進行連接,將8個域與Rocke C2操作聯系起來。 下圖列出了域和Rocke基礎架構(參見表1)。

Rocke黑客組織活動實例分析

Rocke黑客組織活動實例分析

Rocke黑客組織活動實例分析

Rocke新攻擊

在分析Godlua之前,研究表明Rocke惡意軟件在受到破壞的云系統上執行單一操作功能。 但是Godlua的報告引用了包含類似于Rocke的TTP的惡意軟件樣本。經過進一步研究,確定不僅TTP匹配,而且還有硬編碼域,URL和IP地址與先前報告的Rocke惡意軟件硬編碼值相同。研究人員分析了Reddit(致力于減少網絡惡意軟件的白帽組織)中的四個二進制文件,并確認了樣本中包含的硬編碼Rocke域systemten [.] org。樣本還包含與已知Rocke報告的Pastebin URL的硬編碼鏈接:

hxxps://pastebin[.]com/raw/HWBVXK6H

hxxps://pastebin[.]com/raw/60T3uCcb

hxxps://pastebin[.]com/raw/rPB8eDpu

hxxps://pastebin[.]com/raw/wR3ETdbi

hxxps://pastebin[.]com/raw/Va86JYqw

hxxps://pastebin[.]com/raw/Va86JYqw

正如Godlua分析報告中所見,IP地址104.238.151 .101和URL d.heheda.tk,c.heheda.tk和dd.heheda.tk為硬編碼。 發布到Reddit的與Rocke組織有關的惡意軟件中也發現C2連接被發送到三個heheda. tk域,這些域已解析為IP地址104.238.151.101。 另外,樣本包含已知的Rocke域sowcar[.]com,    z9ls[.]com, baocangwh[.]cn, gwjyhs[.]com,和 w2wz[.]cn.的硬編碼值。有關如何將已知的Rocke域與從Godlua和Reddit IoC報告中提取請參見圖1。

Rocke黑客組織活動實例分析

該報告提供的證據表明,Rocke已經添加了第三階段惡意軟件組件,該組件向c.heheda.tk或c.cloudappconfig. com執行第三個C2請求,從而下載名為Godlua的LUA腳本。 該惡意軟件為Rocke的操作提供了模塊化功能。 除DoS功能外,惡意軟件還引入了以下新功能:

HANDSHAKE

HEARTBEAT

LUA

SHELL

UPGRADE

QUIT

SHELL2

PROXY

Godlua報告還提供了Rocke已添加LUA切換功能。 報告指出,攻擊者對域名www.liuxiaobei.com進行了DoS攻擊。 此域名無法解析為任何已知系統,目前尚不清楚第三階段惡意軟件還實現了哪些功能。 但是,通過“Shell”,“Shell2”,“升級”和“代理”等選項,惡意軟件可能是模塊化系統代理的開始,它允許Rocke 利用新添加功能模塊更靈活的加密和破壞數據。

NetFlow中的發現

通過在云端捕獲NetFlow通信研究人員發現,28.1%的被調查云環境至少與已知的Rocke C2域進行了一次活動通信會話。 從2018年12月至今,其中一些還保持著日常聯系。

通過分析Rocke的TTP模式,在指定時間范圍內將已知的Rocke域解析為IP地址,并根據這些IP地址以及與Rocke鏈接的硬編碼IP地址查詢網絡流量,從中發現了Rocke通信。

硬編碼IP地址為受害目標提供了明確的連接。 在撰寫本文時,已知自2019年1月1日起,104.238.151.101已解析為以下URL:

c.cloudappconfig[.]com

d.cloudappconfig[.]com

f.cloudappconfig[.]com

img0.cloudappconfig[.]com

img2.cloudappconfig[.]com

v.cloudappconfig[.]com

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

這些URL與Godlua和Reddit報告中的URL一致,與此IP地址任何連接都應被視為惡意連接。 研究人員確定了來自四個受監控組織的411個連接,這些組織與IP地址104.238.151.101建立了八個或更多的網絡連接。 組織1中,第一次看到的連接和最后看到的連接之間的最長時間是五天,單個連接的最短時間為組織4的一小時(見表2)。

Rocke黑客組織活動實例分析

從104.238.151.101推斷,這四個組織也與其他已知的Rocke域相關聯。 組織1在2019年4月12日至5月31日期間連接到三個Rocke域,有290個連接。 組織4在2019年3月20日至5月15日期間連接到7個域,具有8,231個連接。 如表3所示,四個組織在與Rockede的硬編碼IP地址104.238.151.101連接的時間段內連接到七個已知Rocke域中的一個或多個。

Rocke黑客組織活動實例分析

Rocke黑客組織活動實例分析

Rocke黑客組織活動實例分析

Rocke通信模式

研究人員試圖確定是否可以使用NetFlow數據識別從Pastebin下載的初始有效負載。研究人員發現,共有50個組織與Pastebin建立了網絡連接。在這50個組織中,有8個組織在與Rocke域的連接的同一小時內與Pastebin建立了網絡連接。由于NetFlow流量最小粒度為一小時,且缺乏完整的數據包來確認網絡連接的性質,因此無法準確地確定組織被攻擊破壞的時間。

在查看NetFlow數據中的Rocke網絡流量時,會出現一種截然不同的模式(參見圖2)。首先,使用Pastebin建立連接,然后連接到Rocke域。從圖像中可以看出,該模式每小時重復一次。此外,圖2顯示了連接到Pastebin,然后連接到已知的Rocke域,z9ls.com和systemten.org,在同一時間內連接到硬編碼的IP地址104.238.151.101。此模式為第三階段惡意軟件活動功能特點,表示信標或心跳樣式的活動。

Rocke黑客組織活動實例分析

解決方案

要在云環境中解決Rocke入侵問題,建議執行以下操作:

1、使用最新的修補程序和版本更新更新所有云系統模板。

2、使用最新的修補和更新的云模板循環配置所有云系統。

3、購買并配置云監控產品,包括對合規性,網絡流量和用戶行為的檢查。

4、查看云網絡配置,安全策略和組,以確保它們符合當前的合規性要求。

5、使用云容器漏洞掃描程序。

6、更新所有威脅情報源。

7、調查云網絡流量連接到已知的惡意域或IP。

8、調查組織云環境中出口流量的云網絡流量。

Rocke組織持續發展其工具,并利用2016年和2017年發布的漏洞攻擊配置不當的云基礎架構。該組織使用隱藏狀態下的惡意軟件獲得對云系統的管理訪問權限。可根據惡意軟件通信模式以及硬編碼ip和url對其進行防護。

以上就是Rocke黑客組織活動實例分析,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

读书| 宜城市| 甘孜| 岑溪市| 象州县| 肃宁县| 襄汾县| 河北区| 北票市| 田林县| 临高县| 威信县| 奉新县| 澳门| 改则县| 道孚县| 上栗县| 乌鲁木齐市| 兴安县| 讷河市| 习水县| 蓝田县| 雅江县| 墨竹工卡县| 进贤县| 凤山县| 梁平县| 隆子县| 土默特左旗| 连城县| 衢州市| 邵阳市| 都昌县| 明星| 望谟县| 安化县| 安徽省| 城步| 罗平县| 怀仁县| 福泉市|