Rocke黑客组织概况 Rocke都做了什么

网络犯罪集团Rocke，主要针对目标为云服务。

通过分析2018年12月至2019年6月16日的NetFlow数据，我们发现调查目标中28​​.1%的云环境与Rocke控制(C2)域有过网络通信数据。其中一些还保持着日常联系。与此同时，20%保持每小时心跳数据传输。该组织还发布了一个名为Godlua的新工具，该工具可以充当代理，允许攻击者执行其他脚本操作，如拒绝服务(DoS)攻击，网络代理和shell功能。

Rocke组织概况

Rocke活动最初于2018年8月报道。Rocke最初专注于Linux的Xbash工具，该工具是一款数据破坏恶意软件。 Xbash通过利用目标未修补的漏洞进行攻击，然后使用弱密码进行横向扩展。当Rocke攻击一个组织时，它要求受害者支付0.2,0.15或0.02比特币(BTC)来恢复丢失的数据。但由于Xbash在勒索赎金之前删除了数据库表，因此Rocke无法恢复任何数据。Rocke的BTC钱包包含48笔转账，包含0.964 BTC。

Rocke攻击流程

该组织的第一个加密脚步是用Python编写的，并使用Pastebin、GitHub作为下载第一阶段有效payload的平台。截至2019年3月12日，Rocke也开始使用Golang。第一阶段payload引导受害者连接到Rocke域或IP地址，触发第二阶段payload的下载。

该组织有12步操作的特点，自Rocke首次报道以来，该风格保持一致：

1、攻击者将第一个有效负载上传到第三方站点(例如，Pastebin，GitHub)

2、引诱受害者导航到Pastebin / GitHub(例如，鱼叉式网络钓鱼)

3、利用已知漏洞(例如，Oracle WebLogic，Adobe ColdFusion，Apache Struts)

4、受害者下载后门(例如，Shell Scripts，JavaScript Backdoor)

5、受害者通过Python或Golang脚本运行第一个payload并连接到C2服务器

6、下载并执行第二个payload，获得对系统的管理访问权限

7、通过cron作业命令建立持久控制

8、搜索并杀死以前安装的加密进程

9、添加“IPtables”规则以阻止未来进行的加密过程

10、卸载基于代理的云安全工具(例如，腾讯云，阿里云)

11、下载并安装Monero挖矿软件

12、隐藏进程

查看更多资讯请关注bwmd下载站