阿里云安全监测并捕获到一个针对云服务器发起攻击的新型僵尸网络,由于其使用的扫描、攻击程序名为AutoUpdate,阿里云据此将其命名为AutoUpdate僵尸网络。

概况

经过阿里云安全专家分析,发现该僵尸网络除了常规的持久化、挖矿牟利、隐藏自身等行为外,还会扫描失陷服务器的磁盘,盗取阿里云账号AccessKey等核心数据,对您的账号和数据安全造成风险。此外,扫描攻击所使用的漏洞种类繁多,对数十种常见服务均造成威胁,危害极大。AutoUpdate僵尸网络的传播速度在2021年07月07日达到顶峰,略微沉寂三天后又出现了新一波传播扩散的苗头。

详细分析

AutoUpdate攻击行为主要分为以下几个阶段:
初始攻击建立据点横向移动持久化收尾
远程服务漏洞利用(Spring、Shiro、Weblogic、知名OA等)破坏防御-关闭安全软件内外网漏洞扫描执行流劫持-动态链接库注入清除命令记录
未授权访问(Docker、Redis等)清理其他僵尸网络入侵可免密登录主机进程隐藏挖矿或资源劫持
爆破攻击(Tomcat、数据库等)写入WebShell应用凭据窃取及二次利用

网络传播手段

AutoUpdate使用Go语言编写恶意软件,并针对Linux和Windows系统分别编译,因此在这两种系统的主机上都能够运行和传播。

AutoUpdate使用http://m.windowsupdatesupport.org作为主要的恶意程序下载域名,该域名与微软下载更新所使用的正常网址极为相似,容易导致防御侧混淆和漏过。

此外,攻击者还注册了gunupdatepkg.com这个与正常域名非常相似的域名,用来存放利用fastjson漏洞时需要的恶意LDAP远程源文件。

下载和更新恶意程序:

失陷服务器首先会被执行命令,下载并运行hxxp://m.windowsupdatesupport.org/d/loader.sh。loader.sh则会下载并运行kworkers,后者会读取hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json文件。windowsupdatev1.json是该僵尸网络的配置文件,其中包括了恶意文件名称、url及其最新版本信息,之后将每个文件的最新版本号与存储在主机上文件.{filename}_ver中的原有版本号进行对比,需要更新则结束原有进程,下载新程序并执行。

漏洞扫描攻击和横向传播:

AutoUpdate会利用数十种漏洞,对包括PostgreSQL、MsSQL、Fastjson、Docker、致远OA、Jenkins、WebLogic、Tomcat在内的服务进行漏洞扫描和攻击。

漏洞包含多种OA软件的远程命令执行、Shiro反序列化、Struts2远程命令执行、Weblogic远程命令执行、Docker未授权访问、Jenkins未授权命令执行等。

主机层面行为

AccessKey盗取

在AutoUpdate程序中,存在一个非常危险的函数infocollect(),它会盗取用户的AccessKey。具体做法为遍历所有文件夹,查找后缀为.conf.properties.yml.config的配置文件,然后使用正则匹配,在文件内容中寻找符合AccessKey和SecretKey长度的字符串,并将找到的AccessKey或SecretKey通过HTTP请求发送给攻击者控制的恶意服务器hxxp://mail.windowsupdatesupport.org。由于获取AccessKey后能够调用阿里云账号下的所有资源和功能,一旦AccessKey泄露,需要尽快重置,以避免进一步的损失和风险。

终止安全软件和其他僵尸网络进程

loader.sh中含有终止安全软件的指令,具体行为是结束几种主机安全HIDS产品的进程。此外,为确保能够独占失陷主机的CPU,该僵尸网络还会结束其他僵尸网络的进程。

附加链接库隐藏进程

AutoUpdate会下载processhider.c文件并编译成libc2.28.so后,将该文件附加到ld.so.preload,从而达到隐藏自身进程的目的。

安全解决方案

当前云防火墙已支持对AutoUpdate所利用的多种高危漏洞攻击进行检测和拦截。漏洞检测和拦截

单击操作详情,可查看基本信息和攻击payload。

妥协指标(IOC)

恶意域名

  • *.windowsupdatesupport.org
  • *.gunupdatepkg.com

URL

  • hxxp://m.windowsupdatesupport.org/d/loader.sh
  • hxxp://m.windowsupdatesupport.org/d/
  • hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json
  • hxxp://m.windowsupdatesupport.org/d/service.exe

MD5

1295507537170a526985e1a40250ed36
8d02db4dad1522baa10f9ca03f224dba
5fb1d8d515f9cf17102772a4bc023e78
46171ccf2302e01fa6cb0a97e081a885