如果您正被AutoUpdate僵尸网络攻击,阿里云安全为你支招-阿里云开发者社区

开发者社区> -开发者助手-> 正文

如果您正被AutoUpdate僵尸网络攻击,阿里云安全为你支招

简介: 近日,阿里云安全监测并捕获到一个针对云服务器发起攻击的新型僵尸网络,由于其使用的扫描、攻击程序名为AutoUpdate,我们也据此将其命名为AutoUpdate僵尸网络。
+关注继续查看

僵尸网络概况


近日,阿里云安全监测并捕获到一个针对云服务器发起攻击的新型僵尸网络,由于其使用的扫描、攻击程序名为AutoUpdate,我们也据此将其命名为AutoUpdate僵尸网络。


阿里云安全专家分析发现,该僵尸网络除了常规的持久化、挖矿牟利、隐藏自身等行为外,更会扫描失陷服务器的磁盘,盗取云账号Access Key等核心数据,对用户的账号和数据安全造成极高风险。此外,扫描攻击所使用的漏洞武器种类繁多,对数十种常见服务均造成威胁,危害极大。


AutoUpdate僵尸网络的传播行为在7月7日左右达到顶峰,略微沉寂三天后又出现了新一波传播扩散的苗头:

image.png


用户应提高警惕,可以购买安全产品进行有效防护,当前包括云防火墙在内的多款阿里云安全产品已支持检测、拦截该僵尸网络的攻击。



详细分析


蠕虫的行为主要分为以下几个阶段:


image.png



网络传播手段


该僵尸网络使用Go语言编写恶意软件,并针对Linux和Windows系统分别编译,因此在这两种系统的主机上都能够运行和传播。


下面以Linux系统上的运行、传播过程为例进行说明:


image.png


看似合法的恶意域名


该僵尸网络使用 http://m.windowsupdatesupport.org 作为主要的恶意程序下载域名,该域名与微软下载更新所使用的正常网址极为相似,容易导致防御侧混淆和漏过。


此外,攻击者还注册了 gunupdatepkg.com 这个与正常域名非常相似的域名,用来存放利用fastjson漏洞时需要的恶意LDAP远程源文件。


下载和更新恶意程序


失陷服务器首先会被执行命令,下载并运行hxxp://m.windowsupdatesupport.org/d/loader.sh


loader.sh则会下载并运行kworkers,后者会读取hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json 文件。


image.png


windowsupdatev1.json是该僵尸网络的配置文件,其中包括了恶意文件名称、url及其最新版本信息:


image.png


之后将每个文件的最新版本号与存储在主机上文件。{filename}_ver中的原有版本号进行对比,需要更新则kill原有进程,下载新程序并执行。


漏洞扫描攻击和横向传播


攻击和扫描程序AutoUpdate会利用数十种漏洞武器,对包括PostgreSQL, Mssql, Fastjson、Docker、致远OA、Jenkins、WebLogic、Tomcat在内的服务进行漏洞扫描和攻击:


image.png


利用的漏洞至少包括:

多种OA软件的远程命令执行


Spring boot actuator远程命令执行


Shiro反序列化漏洞


Struts2远程命令执行


Weblogic远程命令执行


Docker未授权访问


Jenkins 未授权命令执行


Tomcat 爆破


....


此外,攻击者通过hxxp://m.windowsupdatesupport.org/task_scheduler 这个地址下发扫描任务,控制失陷主机扫描的网段


image.png


除了AutoUpdate外,sshkey.sh文件会读取失陷主机曾经免密登录过的主机列表,并在这些主机上执行恶意命令,同样达到横向传播的目的:


image.png



主机层面行为


Access key盗取


在AutoUpdate程序中,存在一个非常危险的函数infocollect(),它会盗取用户的Access key ,具体做法为遍历所有文件夹,寻找以下后缀的配置文件:

.conf

.properties

.yml

.config


然后使用正则匹配,在文件内容中寻找符合Access key和Secret key长度的字符串,并将找到的Ak/sk通过http请求发送给攻击者控制的恶意服务器 hxxp://mail.windowsupdatesupport.org


image.png


由于获取AK后能够调用云账号下的所有资源和功能,一旦AK泄露,需要尽快重置,以避免进一步的损失和风险。


终止安全软件和其他僵尸网络进程


loader.sh中含有终止安全软件的指令,具体行为是结束几种主机安全HIDS产品的进程:


image.png


此外,为确保能够独占失陷主机的CPU,该僵尸网络还会kill其他僵尸网络的进程


image.png


附加链接库隐藏进程


下载processhider.c文件并编译成libc2.28.so后,将该文件附加到ld.so.preload,从而达到隐藏自身进程的目的


image.png



安全解决方案


当前云防火墙已支持对AutoUpdate所利用的多种高危漏洞攻击进行检测和拦截,如下图所示:


image.png


点击右侧“详情”按钮即可查看具体信息和攻击payload:


image.png


 IOC


恶意域名

*.windowsupdatesupport.org

*.gunupdatepkg.com


Url

hxxp://m.windowsupdatesupport.org/d/loader.sh

hxxp://m.windowsupdatesupport.org/d/dbus

hxxp://m.windowsupdatesupport.org/d/hideproc.sh

hxxp://m.windowsupdatesupport.org/d/ssh_key.sh

hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json

hxxp://m.windowsupdatesupport.org/d/autoupdate

hxxp://m.windowsupdatesupport.org/d/kworkers

hxxp://m.windowsupdatesupport.org/d/service.exe

hxxp://m.windowsupdatesupport.org/d/inj.exe

hxxp://m.windowsupdatesupport.org/d/runtime.dll

hxxp://m.windowsupdatesupport.org/d/updater.exe

 

Md5

1295507537170a526985e1a40250ed36

8d02db4dad1522baa10f9ca03f224dba

5fb1d8d515f9cf17102772a4bc023e78

46171ccf2302e01fa6cb0a97e081a885


  阿里云安全  


国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7804 0
阿里云多账号管控与网络安全集中化管理能力升级发布
助力企业上云过程中的多账号管控和网络安全管理。
152 0
云安全趋势下脚踏实地力拼网络危胁
本文讲的是云安全趋势下脚踏实地力拼网络危胁,云计算和云安全继续推动着数据和在线应用程序的发展,对传统的网络安全外围是一种革命性的推动。而企业用户都需要用一些崭新的移动设备通过无线网络访问数据。一些有创造性的攻击者们时时刻刻都在发明新的方法从企业窃取数据,以便于在黑市上销售。
859 0
阿里云入选中国网络安全“综合实力百强领军者”
这不仅是对综合安全实力的认可,更说明了云安全在整个网络安全发展中扮演着越来越重要的角色。
256 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
9530 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
11176 0
429首都网络安全日 | 阿里云整体安全能力亮相
阿里云为云上企业用户提供覆盖6大核心领域,61个能力项的整体安全解决方案。
769 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6399 0
2450
文章
0
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载