Rocke黑客組織活動實例分析

本篇文章給大家分享的是有關Rocke黑客組織活動實例分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

Rocke組織概況

Rocke活動最初于2018年8月報道。Rocke最初專注于Linux的Xbash工具，該工具是一款數據破壞惡意軟件。 Xbash通過利用目標未修補的漏洞進行攻擊，然后使用弱密碼進行橫向擴展。當Rocke攻擊一個組織時，它要求受害者支付0.2,0.15或0.02比特幣（BTC）來恢復丟失的數據。但由于Xbash在勒索贖金之前刪除了數據庫表，因此Rocke無法恢復任何數據。Rocke的BTC錢包包含48筆轉賬，包含0.964 BTC。

Rocke攻擊流程

該組織的第一個加密腳步是用Python編寫的，并使用Pastebin、GitHub作為下載第一階段有效payload的平臺。截至2019年3月12日，Rocke也開始使用Golang。第一階段payload引導受害者連接到Rocke域或IP地址，觸發第二階段payload的下載。

該組織有12步操作的特點，自Rocke首次報道以來，該風格保持一致：

1、攻擊者將第一個有效負載上傳到第三方站點（例如，Pastebin，GitHub）

2、引誘受害者導航到Pastebin / GitHub（例如，魚叉式網絡釣魚）

3、利用已知漏洞（例如，Oracle WebLogic，Adobe ColdFusion，Apache Struts）

4、受害者下載后門（例如，Shell Scripts，JavaScript Backdoor）

5、受害者通過Python或Golang腳本運行第一個payload并連接到C2服務器

6、下載并執行第二個payload，獲得對系統的管理訪問權限

7、通過cron作業命令建立持久控制

8、搜索并殺死以前安裝的加密進程

9、添加“IPtables”規則以阻止未來進行的加密過程

10、卸載基于代理的云安全工具（例如，騰訊云，阿里云）

11、下載并安裝Monero挖礦軟件

12、隱藏進程

Rocke基礎架構

Rocke通過硬編碼IP地址，URL地址、域名注冊與受害人進行連接，將8個域與Rocke C2操作聯系起來。 下圖列出了域和Rocke基礎架構（參見表1）。

Rocke新攻擊

在分析Godlua之前，研究表明Rocke惡意軟件在受到破壞的云系統上執行單一操作功能。 但是Godlua的報告引用了包含類似于Rocke的TTP的惡意軟件樣本。經過進一步研究，確定不僅TTP匹配，而且還有硬編碼域，URL和IP地址與先前報告的Rocke惡意軟件硬編碼值相同。研究人員分析了Reddit(致力于減少網絡惡意軟件的白帽組織)中的四個二進制文件，并確認了樣本中包含的硬編碼Rocke域systemten [.] org。樣本還包含與已知Rocke報告的Pastebin URL的硬編碼鏈接：

hxxps://pastebin[.]com/raw/HWBVXK6H

hxxps://pastebin[.]com/raw/60T3uCcb

hxxps://pastebin[.]com/raw/rPB8eDpu

hxxps://pastebin[.]com/raw/wR3ETdbi

hxxps://pastebin[.]com/raw/Va86JYqw

hxxps://pastebin[.]com/raw/Va86JYqw

正如Godlua分析報告中所見，IP地址104.238.151 .101和URL d.heheda.tk，c.heheda.tk和dd.heheda.tk為硬編碼。 發布到Reddit的與Rocke組織有關的惡意軟件中也發現C2連接被發送到三個heheda. tk域，這些域已解析為IP地址104.238.151.101。 另外，樣本包含已知的Rocke域sowcar[.]com,    z9ls[.]com, baocangwh[.]cn, gwjyhs[.]com,和 w2wz[.]cn.的硬編碼值。有關如何將已知的Rocke域與從Godlua和Reddit IoC報告中提取請參見圖1。

該報告提供的證據表明，Rocke已經添加了第三階段惡意軟件組件，該組件向c.heheda.tk或c.cloudappconfig. com執行第三個C2請求，從而下載名為Godlua的LUA腳本。 該惡意軟件為Rocke的操作提供了模塊化功能。 除DoS功能外，惡意軟件還引入了以下新功能：

HANDSHAKE

HEARTBEAT

LUA

SHELL

UPGRADE

QUIT

SHELL2

PROXY

Godlua報告還提供了Rocke已添加LUA切換功能。 報告指出，攻擊者對域名www.liuxiaobei.com進行了DoS攻擊。 此域名無法解析為任何已知系統，目前尚不清楚第三階段惡意軟件還實現了哪些功能。 但是，通過“Shell”，“Shell2”，“升級”和“代理”等選項，惡意軟件可能是模塊化系統代理的開始，它允許Rocke 利用新添加功能模塊更靈活的加密和破壞數據。

NetFlow中的發現

通過在云端捕獲NetFlow通信研究人員發現，28.1％的被調查云環境至少與已知的Rocke C2域進行了一次活動通信會話。 從2018年12月至今，其中一些還保持著日常聯系。

通過分析Rocke的TTP模式，在指定時間范圍內將已知的Rocke域解析為IP地址，并根據這些IP地址以及與Rocke鏈接的硬編碼IP地址查詢網絡流量，從中發現了Rocke通信。

硬編碼IP地址為受害目標提供了明確的連接。 在撰寫本文時，已知自2019年1月1日起，104.238.151.101已解析為以下URL：

c.cloudappconfig[.]com

d.cloudappconfig[.]com

f.cloudappconfig[.]com

img0.cloudappconfig[.]com

img2.cloudappconfig[.]com

v.cloudappconfig[.]com

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

這些URL與Godlua和Reddit報告中的URL一致，與此IP地址任何連接都應被視為惡意連接。 研究人員確定了來自四個受監控組織的411個連接，這些組織與IP地址104.238.151.101建立了八個或更多的網絡連接。 組織1中，第一次看到的連接和最后看到的連接之間的最長時間是五天，單個連接的最短時間為組織4的一小時（見表2）。

從104.238.151.101推斷，這四個組織也與其他已知的Rocke域相關聯。 組織1在2019年4月12日至5月31日期間連接到三個Rocke域，有290個連接。 組織4在2019年3月20日至5月15日期間連接到7個域，具有8,231個連接。 如表3所示，四個組織在與Rockede的硬編碼IP地址104.238.151.101連接的時間段內連接到七個已知Rocke域中的一個或多個。

Rocke通信模式

研究人員試圖確定是否可以使用NetFlow數據識別從Pastebin下載的初始有效負載。研究人員發現，共有50個組織與Pastebin建立了網絡連接。在這50個組織中，有8個組織在與Rocke域的連接的同一小時內與Pastebin建立了網絡連接。由于NetFlow流量最小粒度為一小時，且缺乏完整的數據包來確認網絡連接的性質，因此無法準確地確定組織被攻擊破壞的時間。

在查看NetFlow數據中的Rocke網絡流量時，會出現一種截然不同的模式（參見圖2）。首先，使用Pastebin建立連接，然后連接到Rocke域。從圖像中可以看出，該模式每小時重復一次。此外，圖2顯示了連接到Pastebin，然后連接到已知的Rocke域，z9ls.com和systemten.org，在同一時間內連接到硬編碼的IP地址104.238.151.101。此模式為第三階段惡意軟件活動功能特點，表示信標或心跳樣式的活動。

解決方案

要在云環境中解決Rocke入侵問題，建議執行以下操作：

1、使用最新的修補程序和版本更新更新所有云系統模板。

2、使用最新的修補和更新的云模板循環配置所有云系統。

3、購買并配置云監控產品，包括對合規性，網絡流量和用戶行為的檢查。

4、查看云網絡配置，安全策略和組，以確保它們符合當前的合規性要求。

5、使用云容器漏洞掃描程序。

6、更新所有威脅情報源。

7、調查云網絡流量連接到已知的惡意域或IP。

8、調查組織云環境中出口流量的云網絡流量。

Rocke組織持續發展其工具，并利用2016年和2017年發布的漏洞攻擊配置不當的云基礎架構。該組織使用隱藏狀態下的惡意軟件獲得對云系統的管理訪問權限。可根據惡意軟件通信模式以及硬編碼ip和url對其進行防護。

以上就是Rocke黑客組織活動實例分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。