主要发现
- Tuyul似乎是新的。我们观察到的峰值大小在IRC通道中有366个受害系统。
- Bot根据其功能以多种编程语言编写。2 Tuyul用Perl编写。这与我们通常看到的情况不同,通常IRC机器人是用PHP或Python编写的。3
- 该僵尸网络可能存在印度尼西亚语归属。我们根据一些线索进行了评估,包括时区,僵尸网络名称,使用的管理员昵称和存储库服务器等。有关详细信息,请参见本文的“ 可能的归因”部分。
- 我们继续看到该机器人正在积极研究中,并且我们希望它会继续增长。F5研究人员将继续使用该僵尸网络,并将报告将来的发现。
技术细节
首先,我们讨论恶意软件本身的一些详细信息,然后讨论攻击者网络的组成。恶意软件
威胁参与者使用罕见的漏洞来接管受害者的服务器。该恶意软件专门搜索未修补的PHPUnit实例,PHPUnit是PHP编程语言的单元测试框架。它专门利用了CVE-2017-9841,该漏洞使攻击者能够在服务器上注入任意PHP代码。

攻击者网络的组成
我们能够确认威胁演员与Tuyul一起使用的两个注册域:- https:// localroot [。] zyx-恶意软件存储库和命令和控制(C&C) 31.220.52.186-C&C开发服务器
- http:// zer0art [。] com-感染日志记录API http://103.3.189.32-API开发服务器

攻击方式
攻击者使用两种不同的方法来感染和控制受Tuyul感染的受害者:注入Web Shell或将服务器连接到IRC服务器并加入僵尸网络。以下各节将对两者进行说明。方法1:通过注入Web Shell获得访问权限
攻击者使用许多不同的PHP Web Shell来访问服务器。当活动启动时,称为Tiny File Manager的开源应用程序将用作后门,使攻击者可以轻松访问服务器的文件系统。






方法2:通过IRC僵尸网络获得访问权限
第二种感染方法将受害者的服务器连接到IRC僵尸网络。该恶意软件是用Perl编写的,因此值得考虑。过去,Perl是编写攻击工具的流行语言。由于Perl比诸如C之类的低级语言更容易,因此吸引了许多脚本小子。4 2012年编写的DDoS Perl IRCBot脚本仍然是当今使用的最常见的IRC恶意软件脚本之一。但自2005年以来,5 Perl一直在减少对IRC机器人和常规编程使用Python的支持。正如关键发现中指出的那样,许多IRC僵尸网络现在都是使用Python创建的。由于Perl的入门门槛低,它仍然被使用,并且是脚本小子学习的一种通用语言。因为可以用来创建功能强大且密集的程序,所以全球仍然有许多Perl用户。6在2020年在Perl中开发恶意脚本使该威胁参与者的选择变得有趣。 感染的第一阶段指示服务器下载Bash脚本删除程序(请参见图11)。放置程序指示服务器下载已编译的Perl二进制文件并在系统上执行它。如果不成功,则尝试下载该文件的未编译版本并使用Perl执行该文件。




恶意软件源代码
在监视活动期间,我们收集了四个不同版本的恶意软件源代码。尽管有这些不同的版本,但以下核心功能保持不变:- 赞成:将机器人提升为更高的特权。允许漫游器在其他漫游器上执行命令。
- 新手:将漫游器从“专业”状态降级。
- 更新:下载并安装较新版本的恶意软件。
- bc:连接到反向外壳。
- shell :执行一个shell命令。
- perl:执行一个Perl脚本。
- 终止,自杀:杀死机器人的连接。
图尤尔僵尸网络的组成
被感染的服务器连接到攻击者的IRC服务器,并加入配置的通道。在最初版本的恶意软件中,使用的渠道称为“ #idiot”,从而揭示了演员对受害者的感受。 连接到服务器的每个漫游器都有一个昵称,带有“ TuYuL”前缀和一个随机字符串。



可能的归因
请注意,在发布之时,尚无任何组织声称拥有该僵尸网络,并且我们还没有编写和操作Tuyul的个人的正式署名。我们可能的印尼语归因于调查该恶意软件时收集到的许多证据。 时区。正如“ 攻击方法”部分所述,亚洲/雅加达时区是一个重要线索,因为它设置了所有日期/时间功能所使用的默认时区。8这是在API源代码中设置的攻击者起源的最令人信服的证据,如“恶意软件”部分所述。尽管可以有目的地将其设置为其他时区,但这只是我们确定可能归因时要考虑的众多指标之一。此外,其他一些线索也指向印度尼西亚。 管理员昵称。用于配置该僵尸网络的管理员昵称可能会提供可能的归属信息。普雷曼(Preman)是所使用的绰号之一,是印尼黑帮的代名词,根据维基百科,它是有组织犯罪集团的成员。9 连接到C&C开发环境时,会出现印尼语“ assalamualaikum pak aji”。它不会出现在主C&C上。 IP地址。随着对该机器人的调查继续进行,新版本具有一个有趣的IP地址,该地址公开了威胁参与者的开发环境。威胁参与者运行此开发环境以测试Perl脚本的新版本。在注册管理员昵称后,我们继续监视主IRC服务器和开发IRC服务器的活动。在开发IRC服务器中,未注册管理员昵称,并且还提供了有关威胁参与者来源的其他线索,包括使用了assalamualaikum pak aji短语,其翻译为“问候Aji先生”。根据names.org的说法,Aji这个名字可能有很多渊源,其中一个常见的名字是来自印度尼西亚,意思是“祝福”。10

结论
这项新的活动表明,僵尸网络继续对组织构成威胁,并具有多种用途,从IRC机器人到购物机器人再到加密货币挖矿。那些对构建僵尸网络感兴趣的人无需走远路就能找到源代码以创建自己的僵尸网络。用于服务的僵尸网络也很常见且易于购买。负责任的组织可以通过制定DDoS策略,确保关键服务的冗余,实施凭据填充解决方案以及不断向员工宣传IoT设备的潜在危险以及如何安全使用它们,来尽最大努力保护员工。未经允许不得转载:x-sec » 新的Perl僵尸网络(Tuyul)可能来自于印尼