AutoUpdate僵尸网络攻击分析

概况

经过阿里云安全专家分析，发现该僵尸网络除了常规的持久化、挖矿牟利、隐藏自身等行为外，还会扫描失陷服务器的磁盘，盗取阿里云账号AccessKey等核心数据，对您的账号和数据安全造成风险。此外，扫描攻击所使用的漏洞种类繁多，对数十种常见服务均造成威胁，危害极大。AutoUpdate僵尸网络的传播速度在2021年07月07日达到顶峰，略微沉寂三天后又出现了新一波传播扩散的苗头。

详细分析

网络传播手段

AutoUpdate使用Go语言编写恶意软件，并针对Linux和Windows系统分别编译，因此在这两种系统的主机上都能够运行和传播。

AutoUpdate使用http://m.windowsupdatesupport.org作为主要的恶意程序下载域名，该域名与微软下载更新所使用的正常网址极为相似，容易导致防御侧混淆和漏过。

此外，攻击者还注册了gunupdatepkg.com这个与正常域名非常相似的域名，用来存放利用fastjson漏洞时需要的恶意LDAP远程源文件。

下载和更新恶意程序：

失陷服务器首先会被执行命令，下载并运行hxxp://m.windowsupdatesupport.org/d/loader.sh。loader.sh则会下载并运行kworkers，后者会读取hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json文件。windowsupdatev1.json是该僵尸网络的配置文件，其中包括了恶意文件名称、url及其最新版本信息，之后将每个文件的最新版本号与存储在主机上文件.{filename}_ver中的原有版本号进行对比，需要更新则结束原有进程，下载新程序并执行。

漏洞扫描攻击和横向传播：

AutoUpdate会利用数十种漏洞，对包括PostgreSQL、MsSQL、Fastjson、Docker、致远OA、Jenkins、WebLogic、Tomcat在内的服务进行漏洞扫描和攻击。

漏洞包含多种OA软件的远程命令执行、Shiro反序列化、Struts2远程命令执行、Weblogic远程命令执行、Docker未授权访问、Jenkins未授权命令执行等。

主机层面行为

AccessKey盗取

在AutoUpdate程序中，存在一个非常危险的函数infocollect()，它会盗取用户的AccessKey。具体做法为遍历所有文件夹，查找后缀为.conf、.properties、.yml、.config的配置文件，然后使用正则匹配，在文件内容中寻找符合AccessKey和SecretKey长度的字符串，并将找到的AccessKey或SecretKey通过HTTP请求发送给攻击者控制的恶意服务器hxxp://mail.windowsupdatesupport.org。由于获取AccessKey后能够调用阿里云账号下的所有资源和功能，一旦AccessKey泄露，需要尽快重置，以避免进一步的损失和风险。

终止安全软件和其他僵尸网络进程

loader.sh中含有终止安全软件的指令，具体行为是结束几种主机安全HIDS产品的进程。此外，为确保能够独占失陷主机的CPU，该僵尸网络还会结束其他僵尸网络的进程。

附加链接库隐藏进程

AutoUpdate会下载processhider.c文件并编译成libc2.28.so后，将该文件附加到ld.so.preload，从而达到隐藏自身进程的目的。

安全解决方案

当前云防火墙已支持对AutoUpdate所利用的多种高危漏洞攻击进行检测和拦截。

单击操作列详情，可查看基本信息和攻击payload。

妥协指标（IOC）

恶意域名

• *.windowsupdatesupport.org
• *.gunupdatepkg.com

URL

• hxxp://m.windowsupdatesupport.org/d/loader.sh
• hxxp://m.windowsupdatesupport.org/d/
• hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json
• hxxp://m.windowsupdatesupport.org/d/service.exe

MD5

1295507537170a526985e1a40250ed36
8d02db4dad1522baa10f9ca03f224dba
5fb1d8d515f9cf17102772a4bc023e78
46171ccf2302e01fa6cb0a97e081a885