原文 ，使用了機(jī)翻

https://www.microsoft.com/en-us/security/blog/2022/12/15/mccrash-cross-platform-ddos-botnet-targets-private-minecraft-servers/

譯：YouthP / CmartGo / 夏墨cyan

在攻擊者開發(fā)新型僵尸網(wǎng)絡(luò)的過程中，惡意軟件操作繼續(xù)快速發(fā)展，感染越來越多的新設(shè)備。攻擊者更新惡意軟件以針對(duì)其他操作系統(tǒng)，從 PC 到 IoT 設(shè)備，以此迅速拓展肉雞數(shù)量。Microsoft Defender for IoT研究團(tuán)隊(duì)最近分析了一個(gè)跨平臺(tái)僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)來源于Windows設(shè)備上的惡意軟件下載，并能夠傳播到各種基于Linux的設(shè)備。

僵尸網(wǎng)絡(luò)通過在啟用SSH?的設(shè)備上枚舉密碼來傳播。由于 IoT 設(shè)備通常支持遠(yuǎn)程配置，具有可能不安全的設(shè)置，因此這些設(shè)備可能會(huì)面臨此類僵尸網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。僵尸網(wǎng)絡(luò)的傳播機(jī)制使其成為一種獨(dú)立的威脅，因?yàn)殡m然惡意軟件可以從受感染的源 PC 中刪除，但它可能會(huì)持續(xù)存在于網(wǎng)絡(luò)中的非托管物聯(lián)網(wǎng)設(shè)備上，并繼續(xù)作為僵尸網(wǎng)絡(luò)的一部分運(yùn)行。

Microsoft 將此事件命名為DEV-1028，這是一個(gè)能夠入侵?Windows 設(shè)備、Linux 設(shè)備和物聯(lián)網(wǎng)設(shè)備的跨平臺(tái)僵尸網(wǎng)絡(luò)。就我們（微軟）所知，DEV-1028僵尸網(wǎng)絡(luò)會(huì)對(duì)私有Minecraft服務(wù)器發(fā)起DDoS攻擊。

我們對(duì)DDoS僵尸網(wǎng)絡(luò)的分析，展示了攻擊者專門使用精心制作的數(shù)據(jù)包針對(duì)私有Minecraft Java服務(wù)器的功能，這些功能很可能是在論壇或暗網(wǎng)網(wǎng)站上出售的服務(wù)。跟蹤的三個(gè)月內(nèi)，受僵尸網(wǎng)絡(luò)影響的系統(tǒng)的詳細(xì)統(tǒng)計(jì)數(shù)據(jù)也顯示，大多數(shù)設(shè)備都在俄羅斯：

這個(gè)威脅再次提醒了我們不僅應(yīng)保持設(shè)備軟件最新，還要注意到傳統(tǒng)終端以及通常不太安全的物聯(lián)網(wǎng)設(shè)備的重要性。在這篇博文中，我們分享了有關(guān)此僵尸網(wǎng)絡(luò)如何影響多個(gè)平臺(tái)、其 DDoS 功能的詳細(xì)信息，以及如何防止您的設(shè)備成為僵尸網(wǎng)絡(luò)一部分的建議。我們還共享 Minecraft 服務(wù)器版本信息，供私有服務(wù)器的所有者更新，以免受此威脅。

MCCrash以支持 SSH 的設(shè)備為目標(biāo)

微軟研究人員觀察到，與僵尸網(wǎng)絡(luò)相關(guān)的初始感染點(diǎn)是通過安裝Windows激活軟件，因此攜帶有惡意程序的設(shè)備。

激活工具出激活功能外，還有其他代碼，這些代碼通過PowerShell命令下載并啟動(dòng)偽造的svchost.exe。有時(shí)，這個(gè)程序的文件名為 svchosts.exe。

接下來，svchost(s).exe啟動(dòng) malicious.py，這是一個(gè)包含僵尸網(wǎng)絡(luò)所有功能的Python腳本，然后它會(huì)掃描互聯(lián)網(wǎng)以查找支持SSH的基于Linux的設(shè)備（Debian，Ubuntu，CentOS和物聯(lián)網(wǎng)設(shè)備，如Raspbian，它們通常啟用遠(yuǎn)程配置）并發(fā)起字典攻擊進(jìn)行傳播。找到設(shè)備后，它會(huì)從 ?repo[.]ark—event[.]net?下載文件，創(chuàng)建文件代理。然后，文件代理將 malicious.py 的副本下載到設(shè)備上。svchost.exe 和文件代理都是使用 PyInstaller 編譯的，它捆綁了啟動(dòng) malicious.py 所需的所有 Python 運(yùn)行時(shí)和庫(kù)。

malicious.py 具有取決于文件是在基于 Windows 還是基于 Linux 的設(shè)備上的特定的功能，對(duì)于 Windows，該文件通過添加注冊(cè)表項(xiàng)Software\Microsoft\Windows\CurrentVersion\Run?并將可執(zhí)行文件作為值來建立據(jù)點(diǎn)，但可執(zhí)行文件被按照在?Windows 和 Linux 的設(shè)備上運(yùn)行的標(biāo)準(zhǔn)編譯。該文件與其命令和控制 （C2） 服務(wù)器通信以執(zhí)行以下程序：

• 在端口4676上向repo[.]ark-event[.]net 啟動(dòng)連接

• 發(fā)送初始化字符串

• 從服務(wù)器接受加解密字符串，然后使用Fernet算法進(jìn)一步對(duì)通信進(jìn)行加密

• 向服務(wù)器發(fā)送版本信息

• Linux：硬編碼版本（我們分析的樣本中為 2.19）

• Windows：當(dāng)前的Windows版本

• 繼續(xù)從服務(wù)器接受加密的指令

根據(jù)我們的分析，僵尸網(wǎng)絡(luò)主要用于使用已知的服務(wù)器 DDoS 命令和獨(dú)立的 Minecraft 命令對(duì)私有 Minecraft 服務(wù)器發(fā)起 DDoS 攻擊。下面是代碼中編寫的命令列表：

雖然大多數(shù)命令都實(shí)現(xiàn)DDoS，但僵尸網(wǎng)絡(luò)運(yùn)行的最值得注意的命令是ATTACK_MCCRASH。該命令發(fā)送 ${env：特定大小的隨機(jī)有效負(fù)載：-a} 作為用戶名，以耗盡服務(wù)器的資源并使其崩潰。

端口 25565 上的 TCP 有效負(fù)載具有以下二進(jìn)制結(jié)構(gòu)：

• 字節(jié) [0：1] – 數(shù)據(jù)包大小

• 字節(jié) [1：2] – 登錄啟動(dòng)命令

• 字節(jié) [2：3] – 用戶名的大小

• 字節(jié) [3：18] – 用戶名字符串

使用 env 變量觸發(fā)使用 Log4j 2 庫(kù)，導(dǎo)致系統(tǒng)資源異常消耗（與 Log4Shell 漏洞無關(guān)），實(shí)現(xiàn)了特定且高效的 DDoS。

MCCrash影響的Minecraft服務(wù)器版本范圍極廣

在測(cè)試惡意軟件的影響時(shí)，研究人員發(fā)現(xiàn)惡意軟件本身被硬編碼為針對(duì)特定版本的 Minecraft 服務(wù)器（1.12.2）。但是，1.7.2 和 1.18.2 之間的所有版本都可能受到這種攻擊方法的影響。2022 年早些時(shí)候發(fā)布的服務(wù)器版本 1.19 中的 Minecraft 協(xié)議略有修改，無需修改攻擊代碼而阻止使用 Minecraft 特定命令：

• ATTACK_MCCRASH

• ATTACK_[MCBOT|MINE]

• ATTACK_MCDATA

有風(fēng)險(xiǎn)的 Minecraft 服務(wù)器，與被專門編碼以影響 1.12.2 以上的版本的惡意軟件，使得可能會(huì)產(chǎn)生的影響大大增加。這種威脅利用通常不作為僵尸網(wǎng)絡(luò)一部分的物聯(lián)網(wǎng)設(shè)備的獨(dú)特能力，大大增加了其影響并降低了被檢測(cè)到的機(jī)會(huì)。

MCCrash的預(yù)防與保護(hù)

為了強(qiáng)化設(shè)備網(wǎng)絡(luò)以抵御 MCCrash 等威脅，必須對(duì)設(shè)備實(shí)施身份認(rèn)證，包括訪問限制。解決方案必須檢測(cè)惡意程序的下載和惡意嘗試，以訪問啟用了 SSH 的設(shè)備，并生成有關(guān)異常網(wǎng)絡(luò)行為的警報(bào)。以下是我們對(duì)組織的一些建議：

• 確保員工沒有下載破解工具，因?yàn)檫@些工具被濫用為傳播惡意軟件的感染源。

• 通過強(qiáng)制實(shí)施多重身份驗(yàn)證 （MFA） 方法（如?Microsoft Entra）等方法提高網(wǎng)絡(luò)安全性。啟用網(wǎng)絡(luò)保護(hù)以防止應(yīng)用程序或用戶訪問 Internet 上的惡意域和其他惡意內(nèi)容。

• Microsoft 365 Defender 通過跨標(biāo)識(shí)、終結(jié)點(diǎn)、云應(yīng)用、電子郵件和文檔協(xié)調(diào)威脅數(shù)據(jù)來防范與僵尸網(wǎng)絡(luò)相關(guān)的攻擊。這種跨域可見性使 Microsoft 365 Defender 能夠全面檢測(cè)和修正端到端攻擊鏈 - 從惡意下載到終結(jié)點(diǎn)中的后續(xù)活動(dòng)。這套豐富的工具（如高級(jí)搜尋）使防御者能夠發(fā)現(xiàn)威脅并獲得有關(guān)強(qiáng)化網(wǎng)絡(luò)免受入侵的見解。

• 采用全面的物聯(lián)網(wǎng)安全解決方案，如Microsoft Defender for IoT，允許查看和監(jiān)控所有物聯(lián)網(wǎng)和OT設(shè)備，威脅檢測(cè)和響應(yīng)，以及與SIEM / SOAR和XDR平臺(tái)（如Microsoft Sentinel和Microsoft 365 Defender）的集成。IoT 防御者會(huì)定期更新來自威脅研究的入侵指標(biāo) （IoC），如本博客中所述的示例，以及檢測(cè)惡意活動(dòng)的規(guī)則。

  
  對(duì)于IoT設(shè)備：

• 確保設(shè)備的安全配置：將默認(rèn)密碼更改為強(qiáng)密碼，并阻止 SSH 進(jìn)行外部訪問。

• 通過更新維護(hù)設(shè)備運(yùn)行狀況：確保設(shè)備使用最新的固件和修補(bǔ)程序保持最新狀態(tài)。

• 使用最低權(quán)限訪問：使用安全的虛擬專用網(wǎng)絡(luò) （VPN） 服務(wù)進(jìn)行遠(yuǎn)程訪問，并限制對(duì)設(shè)備的遠(yuǎn)程訪問。

• 對(duì)于托管私人 Minecraft 服務(wù)器的用戶，請(qǐng)更新到版本 1.19.1 及更高版本。

• 采用全面的 Windows 安全解決方案

• 管理員工可以通過 Windows Defender 應(yīng)用程序控制使用的應(yīng)用，以及用于非托管解決方案的應(yīng)用，從而啟用智能應(yīng)用控制。

• 對(duì)于商業(yè)客戶，啟用應(yīng)用程序和瀏覽器控件（如 Microsoft Defender Application Guard），以增強(qiáng)對(duì) Office 和 Edge 的保護(hù)。

• 及時(shí)清理組織設(shè)備上所有未使用和過時(shí)的可執(zhí)行文件。

• 通過啟用內(nèi)存完整性、安全啟動(dòng)和受信任的平臺(tái)模塊 2.0（如果默認(rèn)情況下未啟用）來防范高級(jí)固件攻擊，這會(huì)使用現(xiàn)代 CPU 中內(nèi)置的功能強(qiáng)化啟動(dòng)。

MCCrash的關(guān)鍵特征（IOCs）

• e3361727564b14f5ee19c40f4e8714fab847f41d9782b157ea49cc3963514c25 (KMSAuto++.exe)

• 143614d31bdafc026827e8500bdc254fc1e5d877cb96764bb1bd03afa2de2320 (W10DigitalActivation.exe)

• f9c7dd489dd56e10c4e003e38428fe06097aca743cc878c09bf2bda235c73e30 (dcloader.exe)

• 4e65ec5dee182070e7b59db5bb414e73fe87fd181b3fc95f28fe964bc84d2f1f (updater.zip)

• eb57788fd2451b90d943a6a796ac5e79f0faf7151a62c1d07b744a351dcfa382 (svchosts.exe)

• 93738314c07ea370434ac30dad6569c59a9307d8bbde0e6df9be9e2a7438a251 (fuse)

• 202ac3d32871cb3bf91b7c49067bfc935fbc7f0499d357efead1e9f7f5fcb9d1 (malicious.py)

• repo[.]ark-event[.]net

MCCrash的檢測(cè)

Microsoft Defender Antivirus

Microsoft Defender Antivirus 檢測(cè)此攻擊中使用的惡意軟件如下：

• TrojanDownloader:MSIL/MCCrash.NZM!MTB

• Trojan:Win32/MCCrash.MA!MTB

• TrojanDownloader:Python/MCCrash!MTB

• Trojan:Python/MCCrash.A

• TrojanDownloader:Linux/MCCrash!MTB

• Trojan:Python/MCCrash.RPB!MTB

• Trojan:Python/MCCrash.RPC!MTB

Microsoft Defender for Endpoint

具有以下標(biāo)題的 Microsoft Defender for Endpoint 警報(bào)可以指示網(wǎng)絡(luò)上的威脅活動(dòng)：

• 檢測(cè)DEV-1028

• 系統(tǒng)文件偽裝

• 在 ASEP 注冊(cè)表中檢測(cè)到異常

• 使用 cmd 啟動(dòng)的可疑進(jìn)程.exe

• 可疑文件啟動(dòng)

Microsoft Defender for IoT

物聯(lián)網(wǎng)設(shè)備上與MCCrash相關(guān)的活動(dòng)將在Microsoft Defender for IoT中引發(fā)以下警報(bào)：

• Unauthorized?SSH?access

• Excessive login attempts

Microsoft Defender for Cloud

Microsoft Defender for Cloud 針對(duì)相關(guān)活動(dòng)引發(fā)以下警報(bào)：

• VM_SuspectDownload

Microsoft 365 Defender

運(yùn)行以下查詢以搜索環(huán)境中的相關(guān)文件：

DeviceFileEvents | where SHA256 in ("e3361727564b14f5ee19c40f4e8714fab847f41d9782b157ea49cc3963514c25","143614d31bdafc026827e8500bdc254fc1e5d877cb96764bb1bd03afa2de2320","f9c7dd489dd56e10c4e003e38428fe06097aca743cc878c09bf2bda235c73e30","4e65ec5dee182070e7b59db5bb414e73fe87fd181b3fc95f28fe964bc84d2f1f","eb57788fd2451b90d943a6a796ac5e79f0faf7151a62c1d07b744a351dcfa382","93738314c07ea370434ac30dad6569c59a9307d8bbde0e6df9be9e2a7438a251","202ac3d32871cb3bf91b7c49067bfc935fbc7f0499d357efead1e9f7f5fcb9d1") DeviceFileEvents | where FolderPath endswith @":\windows\svchost.exe" DeviceRegistryEvents | where RegistryKey contains "CurrentVersion\\Run" | where RegistryValueName == "br" or RegistryValueData contains "svchost.exe" or RegistryValueData contains "svchosts.exe" DeviceProcessEvents | where FileName in~ ("cmd.exe", "powershell.exe") | where ProcessCommandLine has_all ("-command", ".downloadfile(", "windows/svchost.exe")

Microsoft Sentinel

Microsoft Sentinel 客戶可以使用 TI 映射分析自動(dòng)將本博客文章中提到的惡意域指示器與其工作區(qū)中的數(shù)據(jù)進(jìn)行匹配。如果當(dāng)前未部署 TI Map 分析，客戶可以從 Microsoft Sentinel 內(nèi)容中心安裝威脅情報(bào)解決方案，以在其 Sentinel 工作區(qū)中部署分析規(guī)則。有關(guān)內(nèi)容中心的更多詳細(xì)信息，請(qǐng)參閱：https://learn.microsoft.com/azure/sentinel/sentinel-solutions-deploy

為了補(bǔ)充此指示器匹配，客戶可以對(duì)引入其工作區(qū)的數(shù)據(jù)使用以下查詢，以幫助查找具有公開的 SSH 終結(jié)點(diǎn)的設(shè)備，以及可能受到 SSH 暴力破解嘗試的設(shè)備。

潛在的 SSH 暴力破解嘗試：https://github.com/Azure/Azure-Sentinel/blob/master/Detections/Syslog/ssh_potentialBruteForce.yaml

Azure 中公開的關(guān)鍵端口：https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/AzureDiagnostics/CriticalPortsOpened.yaml

David Atch, Maayan Shaul, Mae Dotan, Yuval Gordon, Microsoft Defender for IoT Research Team

Ross Bevington, Microsoft Threat Intelligence Center (MSTIC)