Outlaw se pojavio kao uporan Linux malver koji nastavlja da inficira sisteme širom sveta uprkos svojim relativno nesofisticiranim tehnikama.
Ovaj maliciozni softver pokazao je izuzetnu dugovječnost u okruženju prijetnji koristeći jednostavne, ali učinkovite taktike kao što su SSH brute-forcing, strateški mehanizmi postojanosti i operacije rudarenja kriptovaluta kako bi se održao rastući botnet kompromitovanih Linux servera.
Početni vektor pristupa malvera prvenstveno se oslanja na oportunističke SSH napade grubom silom na sisteme sa slabim ili podrazumijevanim akreditivima. Jednom kada se dobije pristup, Outlaw preuzima i izvršava korisni teret pod nazivom dota3.tar.gz, koji pokreće višestepeni proces infekcije.
Ovaj paket sadrži različite komponente koje osiguravaju da malicizoni softver može zadržati kontrolu nad kompromitovanim sistemom dok izbjegava otkrivanje.
Analitičari Elastic Security labs primijetili su da Outlaw demonstrira sveobuhvatan lanac napada koji pokriva gotovo cijeli MITER ATT&CK okvir, što ga čini odličnom studijom slučaja za inženjerske napore detekcije.
Istraživači su uhvatili ponašanje malicioznog softvera kroz sisteme honeypota, promatrajući automatizovane procese i povremenu ručnu interakciju od strane hakera.
Ono što Outlaw čini posebno efikasnim je njegov mehanizam širenja poput crva.
Nakon što kompromituje host, maliciozni softver skenira lokalnu podmrežu u potrazi za dodatnim ranjivim sistemima, koristeći novozaraženu mašinu da pokrene dalje SSH napade grubom silom, brzo proširujući svoj domet preko mreža.
Tehnike upornosti
Outlaw-ovi mehanizmi postojanosti se u velikoj mjeri oslanjaju na cron poslove i manipulaciju SSH ključem.
Maliciozni softver instalira više cron poslova kako bi osigurao da se njegove komponente ponovo pokrenu nakon ponovnog pokretanja sistema ili ako se prekinu.
.webp)
Demaskirana skripta iz malicioznog softvera otkriva ovaj pristup:-
echo "5 6 * * 0 $dir2/a/upd>/dev/null 2>&1
@reboot $dir2/a/upd>/dev/null 2>&1
5 8 * * 0 $dir2/b/sync>/dev/null 2>&1
@reboot $dir2/b/sync>/dev/null 2>&1
0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1" >> cron.d
crontab cron.dUz to, maliciozni softver uklanja i ponovo kreira korisnikov ~/.ssh direktorij, ubrizgavajući SSH ključeve koje kontroliše napadač i primjenjujući nepromjenjive atribute datoteke koristeći chattr +ia kako bi spriječio administratore da ih uklone.
Maliciozni softver Outlaw pokazuje kako hakeri mogu postići širok uticaj bez oslanjanja na sofisticirane tehnike.
Njegovo otkrivanje predstavlja višestruke mogućnosti za sigurnosne timove, posebno kroz praćenje sumnjivih pokušaja SSH autentifikacije , neuobičajenog kreiranja cron poslova i neovlaštenih modifikacija SSH ključeva.
Izvor: CyberSecurityNews
