Rocke黑客組織活動實例分析

本篇文章給大家分享的是有關(guān)Rocke黑客組織活動實例分析，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

Rocke組織概況

Rocke活動最初于2018年8月報道。Rocke最初專注于Linux的Xbash工具，該工具是一款數(shù)據(jù)破壞惡意軟件。 Xbash通過利用目標(biāo)未修補的漏洞進(jìn)行攻擊，然后使用弱密碼進(jìn)行橫向擴展。當(dāng)Rocke攻擊一個組織時，它要求受害者支付0.2,0.15或0.02比特幣（BTC）來恢復(fù)丟失的數(shù)據(jù)。但由于Xbash在勒索贖金之前刪除了數(shù)據(jù)庫表，因此Rocke無法恢復(fù)任何數(shù)據(jù)。Rocke的BTC錢包包含48筆轉(zhuǎn)賬，包含0.964 BTC。

Rocke攻擊流程

該組織的第一個加密腳步是用Python編寫的，并使用Pastebin、GitHub作為下載第一階段有效payload的平臺。截至2019年3月12日，Rocke也開始使用Golang。第一階段payload引導(dǎo)受害者連接到Rocke域或IP地址，觸發(fā)第二階段payload的下載。

該組織有12步操作的特點，自Rocke首次報道以來，該風(fēng)格保持一致：

1、攻擊者將第一個有效負(fù)載上傳到第三方站點（例如，Pastebin，GitHub）

2、引誘受害者導(dǎo)航到Pastebin / GitHub（例如，魚叉式網(wǎng)絡(luò)釣魚）

3、利用已知漏洞（例如，Oracle WebLogic，Adobe ColdFusion，Apache Struts）

4、受害者下載后門（例如，Shell Scripts，JavaScript Backdoor）

5、受害者通過Python或Golang腳本運行第一個payload并連接到C2服務(wù)器

6、下載并執(zhí)行第二個payload，獲得對系統(tǒng)的管理訪問權(quán)限

7、通過cron作業(yè)命令建立持久控制

8、搜索并殺死以前安裝的加密進(jìn)程

9、添加“IPtables”規(guī)則以阻止未來進(jìn)行的加密過程

10、卸載基于代理的云安全工具（例如，騰訊云，阿里云）

11、下載并安裝Monero挖礦軟件

12、隱藏進(jìn)程

Rocke基礎(chǔ)架構(gòu)

Rocke通過硬編碼IP地址，URL地址、域名注冊與受害人進(jìn)行連接，將8個域與Rocke C2操作聯(lián)系起來。 下圖列出了域和Rocke基礎(chǔ)架構(gòu)（參見表1）。

Rocke新攻擊

在分析Godlua之前，研究表明Rocke惡意軟件在受到破壞的云系統(tǒng)上執(zhí)行單一操作功能。 但是Godlua的報告引用了包含類似于Rocke的TTP的惡意軟件樣本。經(jīng)過進(jìn)一步研究，確定不僅TTP匹配，而且還有硬編碼域，URL和IP地址與先前報告的Rocke惡意軟件硬編碼值相同。研究人員分析了Reddit(致力于減少網(wǎng)絡(luò)惡意軟件的白帽組織)中的四個二進(jìn)制文件，并確認(rèn)了樣本中包含的硬編碼Rocke域systemten [.] org。樣本還包含與已知Rocke報告的Pastebin URL的硬編碼鏈接：

hxxps://pastebin[.]com/raw/HWBVXK6H

hxxps://pastebin[.]com/raw/60T3uCcb

hxxps://pastebin[.]com/raw/rPB8eDpu

hxxps://pastebin[.]com/raw/wR3ETdbi

hxxps://pastebin[.]com/raw/Va86JYqw

hxxps://pastebin[.]com/raw/Va86JYqw

正如Godlua分析報告中所見，IP地址104.238.151 .101和URL d.heheda.tk，c.heheda.tk和dd.heheda.tk為硬編碼。 發(fā)布到Reddit的與Rocke組織有關(guān)的惡意軟件中也發(fā)現(xiàn)C2連接被發(fā)送到三個heheda. tk域，這些域已解析為IP地址104.238.151.101。 另外，樣本包含已知的Rocke域sowcar[.]com,    z9ls[.]com, baocangwh[.]cn, gwjyhs[.]com,和 w2wz[.]cn.的硬編碼值。有關(guān)如何將已知的Rocke域與從Godlua和Reddit IoC報告中提取請參見圖1。

該報告提供的證據(jù)表明，Rocke已經(jīng)添加了第三階段惡意軟件組件，該組件向c.heheda.tk或c.cloudappconfig. com執(zhí)行第三個C2請求，從而下載名為Godlua的LUA腳本。 該惡意軟件為Rocke的操作提供了模塊化功能。 除DoS功能外，惡意軟件還引入了以下新功能：

HANDSHAKE

HEARTBEAT

LUA

SHELL

UPGRADE

QUIT

SHELL2

PROXY

Godlua報告還提供了Rocke已添加LUA切換功能。 報告指出，攻擊者對域名www.liuxiaobei.com進(jìn)行了DoS攻擊。 此域名無法解析為任何已知系統(tǒng)，目前尚不清楚第三階段惡意軟件還實現(xiàn)了哪些功能。 但是，通過“Shell”，“Shell2”，“升級”和“代理”等選項，惡意軟件可能是模塊化系統(tǒng)代理的開始，它允許Rocke 利用新添加功能模塊更靈活的加密和破壞數(shù)據(jù)。

NetFlow中的發(fā)現(xiàn)

通過在云端捕獲NetFlow通信研究人員發(fā)現(xiàn)，28.1％的被調(diào)查云環(huán)境至少與已知的Rocke C2域進(jìn)行了一次活動通信會話。 從2018年12月至今，其中一些還保持著日常聯(lián)系。

通過分析Rocke的TTP模式，在指定時間范圍內(nèi)將已知的Rocke域解析為IP地址，并根據(jù)這些IP地址以及與Rocke鏈接的硬編碼IP地址查詢網(wǎng)絡(luò)流量，從中發(fā)現(xiàn)了Rocke通信。

硬編碼IP地址為受害目標(biāo)提供了明確的連接。 在撰寫本文時，已知自2019年1月1日起，104.238.151.101已解析為以下URL：

c.cloudappconfig[.]com

d.cloudappconfig[.]com

f.cloudappconfig[.]com

img0.cloudappconfig[.]com

img2.cloudappconfig[.]com

v.cloudappconfig[.]com

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

這些URL與Godlua和Reddit報告中的URL一致，與此IP地址任何連接都應(yīng)被視為惡意連接。 研究人員確定了來自四個受監(jiān)控組織的411個連接，這些組織與IP地址104.238.151.101建立了八個或更多的網(wǎng)絡(luò)連接。 組織1中，第一次看到的連接和最后看到的連接之間的最長時間是五天，單個連接的最短時間為組織4的一小時（見表2）。

從104.238.151.101推斷，這四個組織也與其他已知的Rocke域相關(guān)聯(lián)。 組織1在2019年4月12日至5月31日期間連接到三個Rocke域，有290個連接。 組織4在2019年3月20日至5月15日期間連接到7個域，具有8,231個連接。 如表3所示，四個組織在與Rockede的硬編碼IP地址104.238.151.101連接的時間段內(nèi)連接到七個已知Rocke域中的一個或多個。

Rocke通信模式

研究人員試圖確定是否可以使用NetFlow數(shù)據(jù)識別從Pastebin下載的初始有效負(fù)載。研究人員發(fā)現(xiàn)，共有50個組織與Pastebin建立了網(wǎng)絡(luò)連接。在這50個組織中，有8個組織在與Rocke域的連接的同一小時內(nèi)與Pastebin建立了網(wǎng)絡(luò)連接。由于NetFlow流量最小粒度為一小時，且缺乏完整的數(shù)據(jù)包來確認(rèn)網(wǎng)絡(luò)連接的性質(zhì)，因此無法準(zhǔn)確地確定組織被攻擊破壞的時間。

在查看NetFlow數(shù)據(jù)中的Rocke網(wǎng)絡(luò)流量時，會出現(xiàn)一種截然不同的模式（參見圖2）。首先，使用Pastebin建立連接，然后連接到Rocke域。從圖像中可以看出，該模式每小時重復(fù)一次。此外，圖2顯示了連接到Pastebin，然后連接到已知的Rocke域，z9ls.com和systemten.org，在同一時間內(nèi)連接到硬編碼的IP地址104.238.151.101。此模式為第三階段惡意軟件活動功能特點，表示信標(biāo)或心跳樣式的活動。

解決方案

要在云環(huán)境中解決Rocke入侵問題，建議執(zhí)行以下操作：

1、使用最新的修補程序和版本更新更新所有云系統(tǒng)模板。

2、使用最新的修補和更新的云模板循環(huán)配置所有云系統(tǒng)。

3、購買并配置云監(jiān)控產(chǎn)品，包括對合規(guī)性，網(wǎng)絡(luò)流量和用戶行為的檢查。

4、查看云網(wǎng)絡(luò)配置，安全策略和組，以確保它們符合當(dāng)前的合規(guī)性要求。

5、使用云容器漏洞掃描程序。

6、更新所有威脅情報源。

7、調(diào)查云網(wǎng)絡(luò)流量連接到已知的惡意域或IP。

8、調(diào)查組織云環(huán)境中出口流量的云網(wǎng)絡(luò)流量。

Rocke組織持續(xù)發(fā)展其工具，并利用2016年和2017年發(fā)布的漏洞攻擊配置不當(dāng)?shù)脑苹A(chǔ)架構(gòu)。該組織使用隱藏狀態(tài)下的惡意軟件獲得對云系統(tǒng)的管理訪問權(quán)限?？筛鶕?jù)惡意軟件通信模式以及硬編碼ip和url對其進(jìn)行防護(hù)。

以上就是Rocke黑客組織活動實例分析，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。