腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击
摘要
l 攻击特点:
利用SSH爆破入侵;
利用十多个钱包挖矿
收集失陷主机敏感信息
可利用肉鸡进行DDoS攻击
通过扫描爆破在内网横向扩散,爆破使用的弱口令字典实时更新
受害主机超过3万台
l 黑客画像:
疑似来自罗马尼亚
二次元爱好者
痴迷Dota2
活跃在多个社交媒体平台,高调嚣张
一、概述
腾讯安全威胁情报中心检测到nasapaul僵尸网络通过SSH爆破攻击企业云服务器,该僵尸网络疑似由罗马尼亚黑客Paul控制。根据其挖矿钱包收入估算,被控肉鸡服务器数量超3万台。该僵尸网络除控制肉鸡挖矿之外,还会收集敏感信息、利用肉鸡系统进行DDoS攻击,具备扫描爆破横向扩散的能力。腾讯安全专家建议政企客户高度重视SSH登录弱口令风险,及时纠正,防止受害。
腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户试用的腾讯安全网络空间云监测系统报告其下属某单位网络资产有访问恶意域名(nasapaul.com)的风险告警。
腾讯安全网络空间云监测系统提供针对网站、小程序、公众号、IOT、主机、API等互联网资产的风险度量监管服务,支持包括web漏洞发现、信息泄露、网站挂马/暗链/篡改、敏感内容、APT预警、黑灰产信息、行业舆论指数等安全能力的选配,提供能力定制化服务支持,该产品目前仅在部分政企机构试用。有需要威胁情报产品试用的企业,可以致电销售人员进行购买咨询,或预约技术架构师获取全面的技术解决方案:
4009100100转 1 或 95716 转 1
通过查询腾讯安图高级威胁检索系统,发现该恶意域名关联到nasapaul僵尸网络团伙。该僵尸网络的攻击方式为通过SSH爆破攻击服务器,再通过挖矿牟利。
通过技术分析,结合腾讯安图高级威胁溯源系统检索的数据,腾讯安全专家判断这起活动疑似由罗马尼亚籍黑客Paul控制的nasapaul僵尸网络所为。黑客Paul在2017年就使用邮箱paul.paul412@yahoo.com注册了域名nasapaul.com,并在2018年初开始利用该域名进行黑客攻击行动,主要目的为控制肉鸡挖矿。由此,判断该企业遭遇到国际黑客的攻击入侵,其目的是控制尽可能多的服务器挖矿。
由于黑客Paul控制的nasapaul僵尸网络具有通过SSH弱口令爆破横向移动攻击能力,一旦中招可能导致企业内网大规模失陷。腾讯安全专家已协助该企业安全运维人员及时处置,彻底消除风险。因处理及时,企业未遭遇损失。
通过统计攻击者使用的十余个门罗币钱包,得出其算力总和已超过1000kh/s,由此推测该僵尸网络控制的肉鸡服务器数量已超3万台。腾讯安全全系列产品已支持对nasapaul僵尸网络入侵攻击的各个环节进行检测、防护:
排查和清除
腾讯安全专家建议企业及时修改服务器SSH登陆密码为高强度密码,并对以下项目进行木马排查和清除:
文件:
/root/.idk/cnrig
/home/[username]/cnrig
/var/tmp/cnrig
/tmp/cnrig
/root/cnrig
/root/Nasa/nhdd
/home/[username]/Nasa/nhdd
/var/tmp/Nasa/nhdd
/usr/tmp/Nasa/nhdd
进程
cnrig
class
update
masscan
二、详细分析
黑客画像
代码中的打印信息使用罗马尼亚语,黑客疑似来自罗马尼亚。
黑客在nasapaul.com页面留下facebook、youtube、steam、instagram、discord多个社交媒体平台的联系方式。
黑客在facebook上公开的账号hxxps://www.facebook.com/paul.stupinean.3
在steam上的账号hxxps://steamcommunity.com/id/NasaPaulOfficial
该黑客玩Dota2的时长达3400多个小时。
通过Yutube账号发布多个黑客工具的演示视频:hxxps://www.youtube.com/channel/UCJ8U0sIuHzke2GOoL9O2Ttw?view_as=subscriber
Youtube账号属于显示该黑客位于罗马尼亚,注册时间为2014年。
该黑客疑似二次元爱好者,2020年6月在instagram上传了4张二次元的图片,简介同样显示来自罗马尼亚。
其他社交平台账号:
hxxps://discord.gg/6W2yTtVMWB
Discord : https://discord.gg/N9P4XPz
Skype : paul.paul4121
根据腾讯安图高级威胁溯源系统查询结果,该黑客在2017年就使用邮箱paul.paul412@yahoo.com注册了域名nasapaul.com。
结论
疑似黑客Paul来自罗马尼亚,使用的网络ID包括“Paul ionut”、“paul4121”、“NasaPaul”、“nsapaul_ns”、” Paul IonutStupinean “等,是一名资深的steam游戏玩家,在2016年开始在steam游戏平台活跃,沉迷于游戏Dota2。
该黑客在2014年11月,黑客在yutube注册了账号,并在2016年5月首次上公布了自己的攻击程序的演示视频。2017年注册了用于恶意攻击的域名nasapaul.com,并制作了挖矿木马,SSH爆破攻击木马开始传播。最后一次发布攻击演示视频是在2019年9月,并在多个社交平台公布了自己的账号。
三、威胁视角看攻击行为
|
ATT&CK阶段 |
行为 |
|
侦察 |
扫描IP端口,确认可攻击目标存开放SSH端口。 |
|
资源开发 |
注册C2服务器,制作shell脚本木马,挖矿木马,SSH爆破程序。 |
|
初始访问 |
利用对外开放的SSH服务弱口令爆破登陆,植入恶意Payload执行恶意命令进而入侵系统 |
|
执行 |
执行恶意命令下载挖矿木马,窃密木马,DDOS木马,爆破攻击程序 |
|
横向移动 |
攻击者在失陷机器上运行端口扫描程序扫描内网SSH的22端口,并进行爆破攻击在内网进行横向移动 |
|
影响 |
门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。DDOS攻击会导致目标服务接收过量虚假请求而无法正常运转。 |
四、订阅腾讯安全威胁情报赋能全网安全产品
nasapaul僵尸网络相关的威胁数据已加入腾讯安全威胁情报,腾讯安全全系列产品已全部接入腾讯安全威胁情报系统,通过实时更新的威胁情报数据,令所有产品具备最新的威胁检测、威胁防护和威胁处置能力。
政企客户可通过订阅腾讯安全威胁情报,赋能给已部署的第三方安全设备或产品,让全网安全防护体系同步具备和腾讯安全一致的安全能力。
通过腾讯主机安全(云镜)检查“入侵检测”->“恶意请求”,在相应的事件列表中,查看“恶意请求详情”,可具体了解本次威胁事件的详细情报信息。
登录腾讯云防火墙后台,查看“告警中心”->“主机失陷”日志,可查看最新威胁日志的详细信息。
腾讯T-Sec高级威胁检测系统(御界)可检测针对SSH等服务弱口令的爆破行为。可检测利用端口扫描、弱口令爆破在内网横向移动的攻击活动,帮助企业网络安全运维人员及时发现内网失陷资产发起的攻击活动。
附录
样本技术点
SSH爆破攻击成功后,先下载nasa.zip并解压,然后chmod设置当前目录下所有文件具有可执行权限,然后执行恶意脚本。
在恶意脚本中启动扫描程序pscan2、nhdd扫描和爆破22端口;
另一个爆破程序groot.zip解压文件后执行恶意脚本进行SSH爆破;
爆破使用内置的密码字典,并会通过服务器端配置实时更新密码字典;
爆破成功后执行payload,搜集系统敏感信息,针对目标进行DDoS攻击,下载挖矿木马启动门罗币挖矿;
挖矿进程启动命令连接2个主要矿池,捕获的门钱包多达14个,会自动切换使用;
仅已知钱包的算力之和就超过了1000Kh/s,根据算力推算nasapaul僵尸网络感染的机器总量超过3万台。
IOCs
Domain
nasapaul.com
Md5
|
nasa.zip |
e363f9c7cdc72b21fbbb3c8a5b776168 |
|
cnrig |
9d099882a24757ac5033b0c675fecbe5 |
|
cnrig |
910520d307424e661473325cb91ad2b2 |
|
groot.zip |
ce3268b6b46c80c1fde8c17721a20c93 |
|
ninfo |
678af2ec3251f8692c9324ffe64c198a |
|
paul |
9e0826abb5d4f15e9aac9d268a95f038 |
|
tutorial |
d9caadb7eeb5dd98e2a060cac6d66bdf |
|
v.py |
86aa0f938b6d6a3b2ba54481f1debae2 |
|
class |
b51a52c9c82bb4401659b4c17c60f89f |
|
nhdd |
df60a14ec58135664504d9dd4fa76ba4 |
|
clase1 |
b6919717b7967ba8fb82afc71561155d |
|
clase2 |
fbf06da7898b6316610f4a3d476921e9 |
|
clase3 |
fef0879661255873552f733732f06c91 |
|
clase4 |
79c200234cc7ebf516279e8b1e715290 |
|
pass-file1 |
932e4bb92f0ee8c7f359a3cbcc0c90c1 |
|
pass-file2 |
aec6502b64380eacbc3fea45da1dbee1 |
|
pass-file3 |
1c0e4790e219f4b935e8c35980b4c9eb |
|
pass-file4 |
e78a3b3e3d3bab8fd899dfe18b101946 |
URL
hxxps://nasapaul.com/paul
hxxps://nasapaul.com/v.py
hxxps://nasapaul.com/ninfo
hxxps://nasapaul.com/perl
hxxps://nasapaul.com/Nasa.zip
hxxps://nasapaul.com/groot.zip
hxxps://nasapaul.com/cnrig
hxxps://nasapaul.com/clase1
hxxps://nasapaul.com/clase2
hxxps://nasapaul.com/clase3
hxxps://nasapaul.com/clase4
hxxps://nasapaul.com/pass-file1
hxxps://nasapaul.com/pass-file2
hxxps://nasapaul.com/pass-file3
hxxps://nasapaul.com/pass-file4
钱包:
89XxfVUp54VR21Zsbm8ZErQqrqFvwytvfSQLijsToPat1XrYwAcEaMtbCdttGuv9U5CWizYy4wAMuFD1MRZGKs18BSHubPD
43iq7w6rED91zdevUCZWW2D8NBeoGvLYRQWBRE7L42jTV69XnvP4bVK5BmYEXxChSEAmebPpjPSYx8KQKyp7iEss4TARDxC
85jZYf1DNBTCehKKq73VAVitHGE1CaL6maCyXVPF8orVEq2UGKt9Y15PGmvEpS9GsV2joJ4uYfM74SQ5BJtvn43e8wyWGfv
489Ggm3YE7eApbKMbMysbjH7sMoLX9bmbET5kQvYHyvr2ctKWtYiZRLG8Biot5U3vkBf3CX3SeM7MXYQAdUSkbug4u9ahRv
8Ay9FKzRvoRgEvPj5smFesRnpNkWpzsdpNwnwJRQVLM7G2y8aQS4RbkbLAvgksrKbRFo12uxb9Ccz4BTofFvoxt78mxyXyL
8BUHemdZJSrexyeqXn9Mfx3RJGGojFhxYZR9e3pwtJqxVC41tkUjxg8bgwwKhUxtEHEpe4tfo5T2DUbvmXCS5DAH3Ac7qms
4B2X2a2YKsqVDrgV8PsozpG92mT2mutqKj3jGrUDEGfQB51ymbjKtKGEJinSXeiC5pjBe2KAL5kQebvMV4WSe48jCK3tHck
42MN9EZuJ4vhvBDUUMoQSf5YgDFbQaEMRTbNY8Dk9EsgUimxMHLNVExNSJiCjF4tgFdD2UpFhymUnRrM3nUNDuVwB5e7X3L
89fq6hs8722Yyn8dbARpCPTp1jzArbcLpgenYNfsWofZawMsMXa1fmMiNq64Y9ncXUUxcK5MfQGKsYi4aXsdeNJnSFbKgi8
42eE7E8HngZNaQNNEofwrgNJ3L2bM1zVqhop6NmJADZkLRGjVg98k6sWW742dAGe68j2yp8bJqzNRjXxZbCs3Xst4EY7VCS
88wzi7JuZRNVBZxWybvmQnPZ9jr7QXZfXWW4yX55ZBf2P6ZwLPx1GQg5ZfQxCmaHsn5vUcq7G3YXdTgvzDVpmKbv3GVMEdQ
85nQC9mmZDgUWZBZzAJtKURqkL8pgufte298CasdWtQY5GGDJdcMvMSMzFDEXknC9bA7vYHctTF4Y7h341YPjKwYBXKa4cQ
8BMYKykCcm9aorCCrrq5bvAfHezrGAg7fGa68Hzww1sHKNf77fsrGjjjSDut2vuhurTym6QeqLYXwjAdPjd8Ch1C6pSi9tt
42yA8XVUCAWKAztxYLTJ96e8pYfN5K3fQZBftWQkChTVaVuDkQskvxy9hZDFRacvo7KKGUkzptCsiGoXBKCAQnRWFMeWtcD
参考链接:
https://www.anquanke.com/post/id/224822
https://www.malwaremily.com/posts/022-nasapaul/
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
