安基网 欢乐生肖 资讯 安全报 查看内容

黑客组织Outlaw再度活跃,新的攻击工具包瞄准更多系统

2020-2-19 15:25| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 网络安全公司趋势科技(Trend Micro)于近日发文称,黑客组织Outlaw在沉寂了6个月左右的时间后再度活跃了起来,且带来了更新后的攻击工具包。根据趋势科技的说法,Outlaw此次进行的更新包括扩展了扫描程序的参数和目标,改进了扫描活动的规避技术,且开始通过杀死其他黑客组织安装的挖矿恶意软件来提高 ...


网络安全公司趋势科技(Trend Micro)于近日发文称,黑客组织Outlaw在沉寂了6个月左右的时间后再度活跃了起来,且带来了更新后的攻击工具包。

根据趋势科技的说法,Outlaw此次进行的更新包括扩展了扫描程序的参数和目标,改进了扫描活动的规避技术,且开始通过杀死其他黑客组织安装的挖矿恶意软件来提高“采矿”的利润。

新的Outlaw攻击工具包

分析表明,新的Outlaw攻击工具包旨在窃取汽车和金融行业的信息,以及针对之前已经受感染的系统发动后续攻击,目标设备包括基于Linux和Unix的操作系统,如未及时安装补丁(CVE-2016-8655和CVE-2016-5195)的服务器以及物联网设备。

趋势科技表示,攻击是从一台虚拟专用服务器(VPS)开始的,该服务器被用于搜索易受攻击的计算机,然后发送打包成.tgz格式(也有一些伪装成.png或.jpg格式的样本)的攻击工具包,以发起入侵。

如上所述,新的Outlaw攻击工具包会通过杀死其他黑客组织安装的挖矿恶意软件来提高“采矿”的利润。

从代码来看,新的Outlaw攻击工具包会尝试删除所有相关的文件和代码,并创建一个新的工作目录“/tmp/。X19-unix”来移动工具包并提取文件。

ELF脚本“init”和“init2”均被用于确保杀死所有正在运行的挖矿服务,并通过授予777权限来确保工作目录中的所有文件都已执行。

图1.ELF脚本init


图2。ELF脚本init2

此外,攻击工具包还会重置cron并从其他程序中删除可能的缓存文件,同时启动脚本和二进制文件a、init0和start,并通过修改crontab以实现长久驻留。

伪装成合法进程的Shellbot

根据趋势科技的说法,新的Outlaw攻击工具包包含一种名为“Shellbot”的僵尸病毒,在运行时伪装成一个名为“rsync”的合法进程,而该进程在许多基于Unix和Linux的系统上都存在,可以自动运行以进行备份和同步。

显然,Outlaw如此设计的目的是为了确保新的攻击工具包顺利逃过安全监测,以保持其恶意活动的隐蔽性。

图3.rsync的当前变量(Shellbot)

分析表明,Shellbot允许攻击者通过从C&C服务器发送并运行的命令来控制僵尸网络。

图4.连接到C&C服务器以发送当前控制变量

在来自C&C服务器的命令中,趋势科技发现了基于Android Package Kits-(APK-)和基于Android Debug Bridge(ADB)的命令,这些命令可以在基于安卓操作系统的电视机中启用加密货币挖矿活动:

图5.tv.apk应用程序的XML文件

结语

自2018年首次被发现以来,Outlaw黑客组织就一直在开展恶意活动,且通常将一些已知的漏洞作为突破口。因此,想要避免受到来自Outlaw的攻击,及时安装补丁会是一种很好的主动防御措施。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6793244690457035267/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部
韩国1.5分彩 澳洲幸运10开奖结果 贵州快3走势 三分PK拾平台 德国时时彩 秒速时时彩 河北快3开奖 飞速赛车平台 韩国1.5分彩 北京两步彩走势图