腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

2021-03-26 18:21:08
腾讯安全威胁情报中心检测到nasapaul僵尸网络通过SSH爆破攻击企业云服务器,该僵尸网络疑似由罗马尼亚黑客Paul控制。根据其挖矿钱包收入估算,被控肉鸡服务器数量超3万台。该僵尸网络除控制肉鸡挖矿之外,还会收集敏感信息、利用肉鸡系统进行DDoS攻击,具备扫描爆破横向扩散的能力。腾讯安全专家建议政企客户高度重视SSH登录弱口令风险,及时纠正,防止受害。

摘要

l  攻击特点:

利用SSH爆破入侵;

利用十多个钱包挖矿

收集失陷主机敏感信息

可利用肉鸡进行DDoS攻击

通过扫描爆破在内网横向扩散,爆破使用的弱口令字典实时更新

受害主机超过3万台

l  黑客画像:

疑似来自罗马尼亚

二次元爱好者

痴迷Dota2

活跃在多个社交媒体平台,高调嚣张

一、概述

腾讯安全威胁情报中心检测到nasapaul僵尸网络通过SSH爆破攻击企业云服务器,该僵尸网络疑似由罗马尼亚黑客Paul控制。根据其挖矿钱包收入估算,被控肉鸡服务器数量超3万台。该僵尸网络除控制肉鸡挖矿之外,还会收集敏感信息、利用肉鸡系统进行DDoS攻击,具备扫描爆破横向扩散的能力。腾讯安全专家建议政企客户高度重视SSH登录弱口令风险,及时纠正,防止受害。

腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户试用的腾讯安全网络空间云监测系统报告其下属某单位网络资产有访问恶意域名(nasapaul.com)的风险告警。

腾讯安全网络空间云监测系统提供针对网站、小程序、公众号、IOT、主机、API等互联网资产的风险度量监管服务,支持包括web漏洞发现、信息泄露、网站挂马/暗链/篡改、敏感内容、APT预警、黑灰产信息、行业舆论指数等安全能力的选配,提供能力定制化服务支持,该产品目前仅在部分政企机构试用。有需要威胁情报产品试用的企业,可以致电销售人员进行购买咨询,或预约技术架构师获取全面的技术解决方案:

4009100100转 1 或 95716 转 1

通过查询腾讯安图高级威胁检索系统,发现该恶意域名关联到nasapaul僵尸网络团伙。该僵尸网络的攻击方式为通过SSH爆破攻击服务器,再通过挖矿牟利。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

通过技术分析,结合腾讯安图高级威胁溯源系统检索的数据,腾讯安全专家判断这起活动疑似由罗马尼亚籍黑客Paul控制的nasapaul僵尸网络所为。黑客Paul2017年就使用邮箱paul.paul412@yahoo.com注册了域名nasapaul.com,并在2018年初开始利用该域名进行黑客攻击行动,主要目的为控制肉鸡挖矿。由此,判断该企业遭遇到国际黑客的攻击入侵,其目的是控制尽可能多的服务器挖矿。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

由于黑客Paul控制的nasapaul僵尸网络具有通过SSH弱口令爆破横向移动攻击能力,一旦中招可能导致企业内网大规模失陷。腾讯安全专家已协助该企业安全运维人员及时处置,彻底消除风险。因处理及时,企业未遭遇损失。

通过统计攻击者使用的十余个门罗币钱包,得出其算力总和已超过1000kh/s,由此推测该僵尸网络控制的肉鸡服务器数量已超3万台。腾讯安全全系列产品已支持对nasapaul僵尸网络入侵攻击的各个环节进行检测、防护:

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

排查和清除

腾讯安全专家建议企业及时修改服务器SSH登陆密码为高强度密码,并对以下项目进行木马排查和清除:

文件:

/root/.idk/cnrig

/home/[username]/cnrig

/var/tmp/cnrig

/tmp/cnrig

/root/cnrig

/root/Nasa/nhdd

/home/[username]/Nasa/nhdd

/var/tmp/Nasa/nhdd

/usr/tmp/Nasa/nhdd

进程

cnrig

class

update

masscan

二、详细分析

黑客画像

代码中的打印信息使用罗马尼亚语,黑客疑似来自罗马尼亚。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

黑客在nasapaul.com页面留下facebookyoutubesteaminstagramdiscord多个社交媒体平台的联系方式。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

黑客在facebook上公开的账号hxxps://www.facebook.com/paul.stupinean.3

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

steam上的账号hxxps://steamcommunity.com/id/NasaPaulOfficial

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

该黑客玩Dota2的时长达3400多个小时。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

通过Yutube账号发布多个黑客工具的演示视频:hxxps://www.youtube.com/channel/UCJ8U0sIuHzke2GOoL9O2Ttw?view_as=subscriber

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

Youtube账号属于显示该黑客位于罗马尼亚,注册时间为2014年。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

该黑客疑似二次元爱好者,20206月在instagram上传了4张二次元的图片,简介同样显示来自罗马尼亚。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

其他社交平台账号:

hxxps://discord.gg/6W2yTtVMWB

Discord : https://discord.gg/N9P4XPz

Skype : paul.paul4121

根据腾讯安图高级威胁溯源系统查询结果,该黑客在2017年就使用邮箱paul.paul412@yahoo.com注册了域名nasapaul.com

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

结论

疑似黑客Paul来自罗马尼亚,使用的网络ID包括"Paul ionut""paul4121""NasaPaul""nsapaul_ns"" Paul IonutStupinean "等,是一名资深的steam游戏玩家,在2016年开始在steam游戏平台活跃,沉迷于游戏Dota2

该黑客在201411月,黑客在yutube注册了账号,并在20165月首次上公布了自己的攻击程序的演示视频。2017年注册了用于恶意攻击的域名nasapaul.com,并制作了挖矿木马,SSH爆破攻击木马开始传播。最后一次发布攻击演示视频是在20199月,并在多个社交平台公布了自己的账号。

三、威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放SSH端口。

资源开发

注册C2服务器,制作shell脚本木马,挖矿木马,SSH爆破程序。

初始访问

利用对外开放的SSH服务弱口令爆破登陆,植入恶意Payload执行恶意命令进而入侵系统

执行

执行恶意命令下载挖矿木马,窃密木马,DDOS木马,爆破攻击程序

横向移动

攻击者在失陷机器上运行端口扫描程序扫描内网SSH22端口,并进行爆破攻击在内网进行横向移动

影响

门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。DDOS攻击会导致目标服务接收过量虚假请求而无法正常运转。

四、订阅腾讯安全威胁情报赋能全网安全产品

nasapaul僵尸网络相关的威胁数据已加入腾讯安全威胁情报,腾讯安全全系列产品已全部接入腾讯安全威胁情报系统,通过实时更新的威胁情报数据,令所有产品具备最新的威胁检测、威胁防护和威胁处置能力。

政企客户可通过订阅腾讯安全威胁情报,赋能给已部署的第三方安全设备或产品,让全网安全防护体系同步具备和腾讯安全一致的安全能力。

通过腾讯主机安全(云镜)检查“入侵检测”->“恶意请求,在相应的事件列表中,查看“恶意请求详情”,可具体了解本次威胁事件的详细情报信息。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

登录腾讯云防火墙后台,查看“告警中心”->“主机失陷”日志,可查看最新威胁日志的详细信息。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

腾讯T-Sec高级威胁检测系统(御界)可检测针对SSH等服务弱口令的爆破行为。可检测利用端口扫描、弱口令爆破在内网横向移动的攻击活动,帮助企业网络安全运维人员及时发现内网失陷资产发起的攻击活动。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

附录

样本技术点

SSH爆破攻击成功后,先下载nasa.zip并解压,然后chmod设置当前目录下所有文件具有可执行权限,然后执行恶意脚本。

在恶意脚本中启动扫描程序pscan2nhdd扫描和爆破22端口;

另一个爆破程序groot.zip解压文件后执行恶意脚本进行SSH爆破;

爆破使用内置的密码字典,并会通过服务器端配置实时更新密码字典;

爆破成功后执行payload,搜集系统敏感信息,针对目标进行DDoS攻击,下载挖矿木马启动门罗币挖矿;

挖矿进程启动命令连接2个主要矿池,捕获的门钱包多达14个,会自动切换使用;

仅已知钱包的算力之和就超过了1000Kh/s,根据算力推算nasapaul僵尸网络感染的机器总量超过3万台。

IOCs

Domain

nasapaul.com

Md5

nasa.zip

e363f9c7cdc72b21fbbb3c8a5b776168

cnrig

9d099882a24757ac5033b0c675fecbe5

cnrig

910520d307424e661473325cb91ad2b2

groot.zip

ce3268b6b46c80c1fde8c17721a20c93

ninfo

678af2ec3251f8692c9324ffe64c198a

paul

9e0826abb5d4f15e9aac9d268a95f038

tutorial

d9caadb7eeb5dd98e2a060cac6d66bdf

v.py

86aa0f938b6d6a3b2ba54481f1debae2

class

b51a52c9c82bb4401659b4c17c60f89f

nhdd

df60a14ec58135664504d9dd4fa76ba4

clase1

b6919717b7967ba8fb82afc71561155d

clase2

fbf06da7898b6316610f4a3d476921e9

clase3

fef0879661255873552f733732f06c91

clase4

79c200234cc7ebf516279e8b1e715290

pass-file1

932e4bb92f0ee8c7f359a3cbcc0c90c1

pass-file2

aec6502b64380eacbc3fea45da1dbee1

pass-file3

1c0e4790e219f4b935e8c35980b4c9eb

pass-file4

e78a3b3e3d3bab8fd899dfe18b101946

URL

hxxps://nasapaul.com/paul

hxxps://nasapaul.com/v.py

hxxps://nasapaul.com/ninfo

hxxps://nasapaul.com/perl

hxxps://nasapaul.com/Nasa.zip

hxxps://nasapaul.com/groot.zip

hxxps://nasapaul.com/cnrig

hxxps://nasapaul.com/clase1

hxxps://nasapaul.com/clase2

hxxps://nasapaul.com/clase3

hxxps://nasapaul.com/clase4

hxxps://nasapaul.com/pass-file1

hxxps://nasapaul.com/pass-file2

hxxps://nasapaul.com/pass-file3

hxxps://nasapaul.com/pass-file4

钱包:

89XxfVUp54VR21Zsbm8ZErQqrqFvwytvfSQLijsToPat1XrYwAcEaMtbCdttGuv9U5CWizYy4wAMuFD1MRZGKs18BSHubPD
43iq7w6rED91zdevUCZWW2D8NBeoGvLYRQWBRE7L42jTV69XnvP4bVK5BmYEXxChSEAmebPpjPSYx8KQKyp7iEss4TARDxC
85jZYf1DNBTCehKKq73VAVitHGE1CaL6maCyXVPF8orVEq2UGKt9Y15PGmvEpS9GsV2joJ4uYfM74SQ5BJtvn43e8wyWGfv
489Ggm3YE7eApbKMbMysbjH7sMoLX9bmbET5kQvYHyvr2ctKWtYiZRLG8Biot5U3vkBf3CX3SeM7MXYQAdUSkbug4u9ahRv
8Ay9FKzRvoRgEvPj5smFesRnpNkWpzsdpNwnwJRQVLM7G2y8aQS4RbkbLAvgksrKbRFo12uxb9Ccz4BTofFvoxt78mxyXyL
8BUHemdZJSrexyeqXn9Mfx3RJGGojFhxYZR9e3pwtJqxVC41tkUjxg8bgwwKhUxtEHEpe4tfo5T2DUbvmXCS5DAH3Ac7qms
4B2X2a2YKsqVDrgV8PsozpG92mT2mutqKj3jGrUDEGfQB51ymbjKtKGEJinSXeiC5pjBe2KAL5kQebvMV4WSe48jCK3tHck
42MN9EZuJ4vhvBDUUMoQSf5YgDFbQaEMRTbNY8Dk9EsgUimxMHLNVExNSJiCjF4tgFdD2UpFhymUnRrM3nUNDuVwB5e7X3L
89fq6hs8722Yyn8dbARpCPTp1jzArbcLpgenYNfsWofZawMsMXa1fmMiNq64Y9ncXUUxcK5MfQGKsYi4aXsdeNJnSFbKgi8
42eE7E8HngZNaQNNEofwrgNJ3L2bM1zVqhop6NmJADZkLRGjVg98k6sWW742dAGe68j2yp8bJqzNRjXxZbCs3Xst4EY7VCS
88wzi7JuZRNVBZxWybvmQnPZ9jr7QXZfXWW4yX55ZBf2P6ZwLPx1GQg5ZfQxCmaHsn5vUcq7G3YXdTgvzDVpmKbv3GVMEdQ
85nQC9mmZDgUWZBZzAJtKURqkL8pgufte298CasdWtQY5GGDJdcMvMSMzFDEXknC9bA7vYHctTF4Y7h341YPjKwYBXKa4cQ
8BMYKykCcm9aorCCrrq5bvAfHezrGAg7fGa68Hzww1sHKNf77fsrGjjjSDut2vuhurTym6QeqLYXwjAdPjd8Ch1C6pSi9tt
42yA8XVUCAWKAztxYLTJ96e8pYfN5K3fQZBftWQkChTVaVuDkQskvxy9hZDFRacvo7KKGUkzptCsiGoXBKCAQnRWFMeWtcD

参考链接:

https://www.anquanke.com/post/id/224822

https://www.malwaremily.com/posts/022-nasapaul/

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击



版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/695.html

发表评论

登录后才能评论