TrendMicro研究人员检测到一个传达含有门罗币挖矿机和Perl后门组件的僵尸 *** 的URL。研究人员发现这与Outlaw黑客安排之前进犯活动中运用的办法相同。 研究人员在剖析中发现进犯者运用了一个可履行的SSH后门，并且这些组件以服务的方式装置来为歹意软件供给驻留。根据Perl的后门组件能够发动DDoS进犯，答应犯罪分子经过供给DDoS即服务和加密钱银挖矿机来运用僵尸 *** 获利。 但研究人员以为该进犯活动背面的进犯者或许在测验和开发进程，由于还有shell脚本组件在TAR文件中没有履行。 到现在，研究人员监测到了来自我国的感染活动。 进犯办法 数据显现歹意软件经过SSH暴力破解进犯来获取体系的拜访权限，并履行两个或许的指令文件。文件组件和办法与之前的剖析是一向的，剖析的样本中履行了.x15cache，bash脚本会下载歹意软件。 图 1.经过SSH暴力破解进犯机器 Shell脚本会下载、提取和履行挖矿机payload。提取的TRR文件包括含有脚本、挖矿机和后门组件的文件夹。 图 2. 提取挖矿机payload和后门组件 图 3. 提取的TAR文件树 文件夹a含有cron和anacron二进制文件，是歹意软件运用的加密钱银挖矿机。其他的文件是担任挖矿机组件履行，铲除和删去其他体系中的竞赛挖矿机。文件夹b含有后门组件和shell脚本。 其间一个文件就说rsync，这是初始混杂的根据Perl的shellbot，能够履行文件下载、shell cmd履行和DDOS这样的多个后门指令。 图 4. 混杂的Perl脚本 图 5. 解混杂的rsync代码段 另一个文件ps，是一个作为SSH后门的Linux可履行文件。 图 6. SSH后门 文件树显现文件夹c是空文件夹。它也含有多个二进制文件和shell脚本，但履行进程中只要一些为你教案履行了。从蜜罐中获取的样本来看，这说明进犯活动正在测验或开发阶段。研究人员以为未来进犯者或许会运用这些没有运用过的文件。 剖析ps测验衔接的URL，研究人员发现了含有压缩文件dota[.]tar[.]gz的mage[.]ignorelist[.]com。它含有x.15cache下载的TAR文件夹相同的a和b文件夹，c文件夹含有文件t *** 32和 t *** 64，以及其他可履行文件和组件。 图 7. 文件夹c 文件t *** 32和t *** 64是担任经过SSH暴力破解传达挖矿机和后门的扫描器，能够发送长途指令来下载和履行歹意软件。 图 8. t *** 32 图 9. t *** 32发送的长途指令 .satan 文件是一个shell脚本，会将后门歹意软件以服务的方式装置。在Linux中，以周期开端的文件是躲藏的。 图 10. .satan 文件 定论 研究人员是从2019年开端发现Outlaw的进犯活动的，研究人员注意到它很快从测验和开发阶段到侵略了超越20万主机，其间也包括一些移动设备。在该进犯活动中，研究人员得到一些关于进犯仍处于前期阶段的进犯活动。经过侵略和感染体系能够使扩展其监听和扫描的才能，报告给C2服务器，发动DDOS进犯。 这些运用的技能也被广泛运用，并且在地下商场在不断地交流。Outlaw交融了歹意加密钱银挖矿机和根据Perl的后门将受害者机器变成了僵尸 *** 和DDoS服务。假如Perl装置在机器中，运用Perl编程言语作为后门能够保证歹意软件的灵活性，由于既能够在Linux操作体系也能够在Windows操作体系中运转。假如该代码出售的话，代码的驻留、运用、修正和履行要愈加简略一些。 研究人员还注意到服务器上保存的APK文件的存在，意味着假如犯罪分子决议除了感染服务器外还会进一步进行进犯，进犯者或许会进犯根据安卓的设备。