Outlaw黑客组织复工了！试图入侵Linux服务器来挖矿

本文插图
近日，网络安全公司Yoroi捕获了一个Linux恶意软件。分析显示，该恶意软件的核心组件是Shellbot（一个门罗币挖矿程序）的一个变种，而后者正是Outlaw黑客组织武器库中的一个犯罪工具。这也就意味着，在沉寂了一段时间之后，该组织再次卷土重来了！
Outlaw简介
【Outlaw黑客组织复工了！试图入侵Linux服务器来挖矿】首份关于Outlaw黑客组织的分析报告来自趋势科技，时间是在2018年。
在当时，该组织主要瞄准的是汽车和金融行业，旨在通过暴力破解和SSH漏洞利用（Shellshock漏洞和Drupalgeddon2漏洞）来实现对目标设备（包括服务器和物联网设备）的远程访问。
遭入侵的设备最终都成为了Outlaw僵尸网络的组成部分，然后以DDoS攻击服务的形式在暗网上出售。
技术分析
如上所述， Yoroi此次捕获的恶意软件，其核心组件是Shellbot的一个新变种，其他组件还包括一个基于IRC的僵尸程序和一个SSH扫描程序以及暴力破解工具。
感染链从针对Linux服务器的暴力破解开始，然后才是安装完整的恶意软件组件，整个过程由几个bash和perl脚本进行管理。

本文插图
图1.Shellbot暴力破解
具体来讲，在暴力破解成功后，以下文件将被安装：

本文插图
图2.目录清单
父文件夹是一个名为“.rsync”的隐藏目录，包含三个文件和三个子目录。
三个文件分别是“init”、“init2”和“initall” ，它们是三个bash脚本，负责安装三个主要组件。
initall是第一个执行的脚本，其内容如下：

本文插图
图3.initall脚本的内容
该脚本只有两个宏函数，其中一个负责清除受感染设备上与其他恶意软件相关的进程，以避免在执行过程中产生某种类型的冲突。

本文插图
图4.init2脚本的内容
init2脚本的内容如上图所示，它首先会运行三个文件：“init0”、位于文件夹“b”下的“a”以及位于文件夹“c”下的“a” 。
然后，便涉及到使用“crontab”来实现长久驻留——恶意软件会根据要执行的模块和文件来准备不同的计划任务配置：

“/a/upd”每23天运行一次（28行）；
“/b/sync”每个星期日的上午08:05运行一次（第29行）；
“/b/sync”重新启动（第30行）；
“/c/aptitude”每三天运行一次（第31行）。

受害者统计
从恶意软件自C2服务器下载的IP列表来看，截止到目前全球已有94541台设备被Outlaw僵尸网络纳入麾下。
其中，受影响最严重的国家是美国（34998），其次是中国（8688），再然后是德国（6891）和法国（4068）以及一些欧洲国家。
结语
尽管Outlaw在此次行动中使用了新的采矿池和C2服务器，但他们的目标显然仍是入侵世界各地的服务器，然后组建一支强大的挖矿大军。
目前， C2 IRC服务器已关闭，但提供受害者IP列表的两个C2仍处于活跃状态。最有可能的情况是，该组织将部署新的IRC服务器，而不更换其他基础设施。
我们的建议是，你需要及时更新你的SSH服务器，并强化对它们的保护，如配置更为严格的身份验证并杜绝使用弱密码。