Operation Prowli通過向服務器和網站發送惡意軟件進行傳播，已經入侵了超過4萬臺設備。Prowli會使用不同的攻擊技術包括漏洞利用、密碼暴力破解和弱配置等。

　　Prowli是一個多目的的攻擊活動，攻擊目標涉及多個平臺包括CMS服務器，運行HP Data Protector的備份服務器，DSL調制解調器和IoT設備。攻擊者通過數字貨幣、流量重定向等方式進行獲利。

　　本報告主要關注攻擊技術、方法、基礎設施和目標。隨后將深入分析技術細節和攻擊者的獲利方式。

　　r2r2蠕蟲

　　4月4日，GuardiCore Global Sensor Network (GGSN)報告了與C2服務器通信的SSH攻擊。所有的攻擊方式是一樣的，與相同的C2服務器下載叫做r2r2的攻擊工具和一個加密貨幣挖礦機。

GGSN報告的攻擊步驟

　　· 研究人員發現該攻擊活動攻擊了不同國家的數個網絡，涉及不同的行業；

　　· 攻擊者使用了一些新的攻擊來繞過Guardicore和VirusTotal的檢測；

　　· 攻擊者使用代碼中硬編碼了域名的二進制文件，每個二進制文件都針對不同的攻擊服務和CPU架構。

　　過去3周內，研究人員發現了來自不同國家和地區的超過180個IP地址發起的攻擊。研究人員通過這些攻擊調查了攻擊者的基礎設施并發現了大范圍的攻擊服務。

　　范圍

　　研究人員發現攻擊者保存了大量的攻擊目標的信息，包括提供不同internet服務的IP地址和域名等。這些服務易受到遠程預認證（remote pre-authentication attack）攻擊，或攻擊者可以進行暴力破解。攻擊者的攻擊目標服務列表包括Drupal CMS網站、Wordpress站點、DSL調制解調器、開放SSH端口的服務器、有漏洞的IoT設備、暴露HP數據保護軟件的服務器等等。

運行弱SSH憑證的受害者

　　Prowli背后的運營者會攻擊所有類型和大小的組織，這與之前的攻擊一致的。

Operation Prowli的受害者

　　Operation Prowli入侵了大量的服務，而不是攻擊特定的單元。

受害者所屬行業

　　獲利方式

　　Operation Prowli背后的攻擊者更加關注如何從攻擊者獲利，研究人員分析出兩個主要的收入流：

　　第一個收入源是加密貨幣挖礦。加密貨幣挖礦需要投入大量的流量和能源消耗。攻擊者使用r2r2惡意軟件可以接管計算機并用來挖礦。加密貨幣挖礦也是當代蠕蟲的常見payload之一，本活動中的攻擊者選擇的是門羅幣Monero挖礦。

　　另一個收入源是流量欺騙獲利。流量獲利是指第三方用戶向攻擊者購買重定向服務。網站的運營者根據流量獲利，這類目的域名會經常駐留不同的欺騙服務，比如虛假服務、惡意瀏覽器擴展等。

被重定向到虛假網站訪問者示例

　　在本例中，Prowli售賣重定向到流量，訪問者會被重定向到提供技術支持（騙局）、虛假瀏覽器擴展、虛假產品等的域名。

　　攻擊目標

　　Prowli的運營者有許多的攻擊方法來滿足不同的攻擊需求。研究人員也發現了基于不同服務的攻擊類型，一些攻擊時基于蠕蟲的，會隨機攻擊網絡上的IP地址,而其他的攻擊會攻擊CMS服務器等。

　　研究人員發現的攻擊向量有：

　　· 運行SSH的機器被自傳播的蠕蟲通過暴力破解憑證猜測的方式入侵，受害者隨后會下載和運行加密貨幣挖坑機。

　　· 運行k2擴展到Joomla!服務器，k2擴展存在文件下載漏洞，URL為http://.com/index.php?option=com_k2&view=media&task=connector&cmd=file&target=[base64 of file path]&download=1

　　攻擊者可以從中獲取敏感服務器配置數據，如口令和API key等。

Joomla!配置細節

　　· DSL調制解調器被黑，該漏洞存在于SOAP數據處理中，會導致遠程代碼執行，該漏洞之前也被Mirai蠕蟲利用過。

　　· Wordpress服務器被一些感染器入侵，一些感染器嘗試暴力破解登錄WP管理面板，還有其他的WP安裝漏洞；還有利用服務器配置問題的攻擊，比如在訪問站點 http://.com/wp-config.php~時會暴露FTP憑證信息。

　　· 運行HP data protector的服務器會通過5555端口暴露到網絡上，利用的是CVE-2014-2623漏洞來執行系統權限命令。

　　攻擊者還攻擊Drupal，PhpMyAdmin安裝，NFS盒子和暴露SMB端口的服務器等。

　　還有一類受害者是被入侵的服務器，服務器上有著名的開源webshell叫做WSO web shell。

對被感染設備的完全控制

　　這些基于php的shell會在不同的被入侵的機器上提供訪問和遠程代碼執行權限，經常會運行在有漏洞的wordpress站點上。

攻擊者很容易就可以將這些設備用于未來的攻擊中

　　針對win的暴力破解

　　名為r2r2的二進制文件是用Golang語言編寫的，r2r2會隨機地生成IP地址塊并嘗試用詞典暴力破解SSH登錄。一旦登錄，就會在受害者設備上運行一系列的命令。這些命令運行wget來從硬編碼的服務器上下載文件：

　　· 針對不同CPU架構的蠕蟲副本；

　　· 加密貨幣挖礦機和配置文件。

蠕蟲在受害者設備上遠程執行命令，然后將憑證報告給C2服務器

　　用到的命令為：

　　r2r2，r2r2-a，r2r2-m等不同版本的r2r2二進制文件其實是相同的二進制文件在不同平臺編譯的結果。

從提取出二進制文件可以幫助對攻擊者進行命名

　　在攻破服務器后，用來登錄受害者設備的憑證就會以明文HTTP的形式傳給wp.startreceive[.]tk/test/p.php ，然后保存到攻擊者服務器中。蠕蟲的某些版本發送更多關于受害者的詳細信息，如CPU，內核dist版本等。

　　Joomla!.tk C&C

　　攻擊工具報告的C2服務器運行的域名為wp.startreceive[.]tk，該服務器也是個被入侵的服務器，攻擊者將其用來存放惡意軟件、收集受害者信息，并向其他被入侵的機器提供不同的payload。

　　C2的邏輯上用一組php文件來接受來自受害者的數據并保存。攻擊者會保存如何利用受害者設備的所有信息，這樣就可以隨時獲取設備的訪問權限。

　　攻擊者C2代碼段：

　　payload

　　Prowli背后的攻擊者對不同的目標使用不同等payload。SSH暴力破解攻擊可以給攻擊者對于系統的完全控制來進行加密貨幣挖礦，而被入侵的網站可以用來運行不同的web欺騙活動。其他的受害者設備可以被用來執行更多的攻擊，比如用作C2服務器。

　　該攻擊活動的一個重要部分就是感染運行了有漏洞的CMS軟件的網站。在一些攻擊實例中，payload是一個php文件，該文件可以感染網站并向不同的php頁面和js文件中注入惡意代碼。

在有漏洞的服務器上執行的php文件

　　PHP注入器函數php_in會檢查目標PHP文件是否會輸出HTML文件，如果是，就注入一段JS代碼到生成的頁面中。這段代碼會開啟一個進程，并將訪問站點的用戶重定向到惡意的站點。

重定向腳本逆混淆前后

　　send.php頁面會提取目標域名，因為之后受害者也會被重定向到該頁面。roi777[.]com提供隨機選擇的域名，所有都會重定向到不同類型的不同站點。攻擊者會將id號加到目標域名，允許roi777記錄誰在重定向流量。

重定向垃圾郵件示例

　　總的來說，Prowli接管合法的網站，并在其所有者不知情的情況下將流量重定向到惡意網站，這些重定向到方式包括簡單的垃圾郵件、技術支持類垃圾郵件等。

　　檢測和預防

　　攻擊是基于已知的漏洞和憑證猜測的結合，也就是說預防的方式應該包含強密碼和保持軟件更新。給服務器打補丁和使用強密碼在現實生活中都是很復雜的事，還有給系統上鎖等方式將有漏洞的系統和其他網絡隔離開來。

　　對CMS軟件來說，如果不能及時打補丁，那么可能隨時會被黑，還要遵循嚴格的加固指南，比如WordPress、 Drupal provide加固指南。

　　分段式另外一個好的實踐方式，如果不能防止系統被入侵，那么將網絡分段和監控，就是一個減少危害、避免數據泄漏的方式。要經常性地去檢查誰可以訪問服務器，可以訪問服務器的什么內容。將此列表保持在最低限度，并且要特別注意那么憑證不能修改的IoT設備。監控通信連接可以很容易的知道被黑的設備如何與加密貨幣礦池進行通信。

　　R2R2感染的設備

　　如果用戶設備感染了r2r2，那么首先要殺掉蠕蟲和挖礦進程（r2r2和xm11），刪除文件來清除攻擊。清除后記得要修改密碼。用戶可以通過尋找占用CPU比較高的進程和異常的SSH連接來檢測這些受感染的設備。

　　檢測感染Prowli的網站的訪問者

　　通過檢查網絡中是否有到域名wp.startreceive[.]tk和stats.startreceive[.]tk的流量就可以發現網絡中的設備是否訪問過被感染的網站。研究人員建議用戶確保未安裝惡意軟件或沒有常見的可被利用的瀏覽器漏洞。

　　檢測被黑的CMS服務器

　　檢查網站是否被黑，最簡單的方式就是搜索有沒有下面的代碼段（PHP和js文件）:

　　JavaScript files:

　　PHP files:

　　如果你在系統或者網站上發現上面的代碼段，那么你的網站可能已經被黑了。

　　結論

　　GuardiCore Labs研究人員對Prowli的獲利活動進行了分析，主要是通過加密貨幣挖礦和流量劫持。被入侵的不安全的機器會被安裝一個完全自動化的蠕蟲進行Monero挖礦，被感染的web站點會將訪問用戶重定向到惡意域名。

　　Prowli已經通過利用不安全的網站和服務器入侵了上千臺設備?；ヂ摼W上存在著大量未被修復的系統，未升級的系統和默認憑證都是攻擊的目標。

　　加密貨幣挖礦和流量劫持是被入侵設備的主要用途，但攻擊者的目的不至于此。攻擊者在受害者設備上留下了后門，并收集了受害者設備的信息，因此攻擊者可以很輕松的用受害者設備做其他用途，甚至可以將保存的信息賣給其他的犯罪分子。

責任編輯：韓希宇