DataJutsu302/honeypot-research

# mdrfckr SSH 持久化活动 — 独立传感器佐证（2026 年 5 月至 6 月） **分析师：** Daryl Jiminez，SANS ISC 实习生 **观察窗口：** 2026-05-15 → 2026-06-04（21 天） **传感器：** 单个 DShield/Cowrie 传感器，Raspberry Pi 5 **相关 ISC 日志：** [新的恶意软件库意味着新的特征码](https://isc.sans.edu) — 发布于 2026-05-15 ## 概述 在 2026-05-15，即另一位 SANS ISC 实习生发布记录长期运行的 mdrfckr 活动的 libssh 0.11.x 新 hassh 指纹日志的同一天，我独立的 DShield 传感器开始捕获到写入相同 authorized_keys SHA-256 的会话。本日志提供了 21 天的单传感器观察数据，作为对该发现的独立佐证，将观察窗口比发布的报告延长了 14 天，并记录了在单个传感器上同时存在 2022 年代和 2026 年代 hassh 指纹的情况。 mdrfckr 活动并非新近出现。authorized_keys SHA-256 `a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2` 自 2018 年 7 月起就已存在于 VirusTotal 上，并且从未改变。归因于 Outlaw/Dota 威胁组织，连同其侦查剧本和驱逐竞争对手的行为，已在 Trend Micro（2018/2020）、Anomali、Yoroi、Juniper、CounterCraft、Cybereason 和 Kaspersky 的报告中记录，以及 port22.dk 分为两部分的 hassh 分析（2022–2023）和多篇 SANS ISC 处理程序日志中。本日志不重新确立该归因——而是依赖于它。 本次观察增加的内容虽然范围有限但非常具体：对 2026 年 4 月 hassh `03a80b21afa810682a776a7d42e5e6fb` (libssh 0.11.1) 的第二个传感器的独立确认；证明两代 hassh 正在 2026 年 6 月期间同时运行的证据；以及在 Cowrie 日志中捕获到的身份验证后命令剧本的详细会话级分解。 ## 关键数据 | 指标 | 数值 | |---|---| | 观察窗口 | 2026-05-15 → 2026-06-04（21 天） | | mdrfckr 密钥写入尝试总数 | 106 | | 唯一源 IP | 97 | | authorized_keys SHA-256 | a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | | 2022 年代 hassh (libssh 0.9.x) 命中次数 | 2,306 | | 2026 年代 hassh (libssh 0.11.1) 命中次数 | 111 | | 观察到的会话持续时间（完整剧本） | ~22 秒 | ## Hassh 观察结果 已发布的日志询问其他 DShield 操作员是否已独立观察到 2026 年 4 月的 hassh `03a80b21afa810682a776a7d42e5e6fb`。该传感器在 2026 年 5 月 15 日至 6 月 4 日期间的 111 个会话中证实了这一点。 | Hassh | 客户端 Banner | 此传感器上的命中次数 | 时期 | |---|---|---|---| | `f555226df1963d1d3c09daf865abdc9a` | libssh 0.9.5 / 0.9.6 | 2,306 | 2026 年 5 月–6 月 | | `03a80b21afa810682a776a7d42e5e6fb` | libssh 0.11.1 | 111 | 2026 年 5 月–6 月 | 截至 2026 年 6 月 4 日，这两个 hassh 值同时在此传感器上处于活跃状态。这与已部分迁移到较新 libssh 版本同时保留旧工具的基础设施相一致——尽管该传感器无法仅凭 hassh 数据确认操作者的意图。 ## 会话分析 — 观察到的身份验证后剧本 以下是对会话 `8af652604719`（源 IP：163.7.8.79，2026-05-23）从 Cowrie 日志中进行的完整会话重建。在数据集中的成功会话中均一致观察到了此命令序列。 | 时间戳 (UTC) | 事件 ID | 观察到的详情 | |---|---|---| | 01:06:43 | cowrie.session.connect | SSH 连接建立 | | 01:06:44 | cowrie.login.success | root / Aa123123123 | | 01:06:45 | cowrie.command.input | `chattr -ia .ssh; lockr -ia .ssh` | | 01:06:46 | cowrie.command.input | `.ssh` 目录被移除、重新创建，mdrfckr 公钥被写入 `authorized_keys` | | 01:06:46 | cowrie.session.file_download | authorized_keys 已写入 — SHA-256：`a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2` | | 01:06:53 | cowrie.command.input | `echo "root:SfbCmZU2eqXG"\|chpasswd` | | 01:06:54 | cowrie.command.input | `rm -rf /tmp/secure.sh; pkill -9 secure.sh; echo > /etc/hosts.deny` | | 01:06:52–01:07:04 | cowrie.command.input | 系统侦查命令（见下文） | | 01:07:05 | cowrie.session.closed | 总会话持续时间：~22 秒 | **从登录到写入 authorized_keys 的时间：约 2 秒。** 命令序列毫无停顿地执行，这与自动化的脚本执行而非手动交互相一致。 ### 防御解除 登录后的第一个命令 —— `chattr -ia .ssh` —— 移除了 `.ssh` 目录的不可变文件属性。这是先前 mdrfckr 报告中记录的一种已知的防御性对策移除技术。辅助命令 `lockr -ia .ssh` 在此会话中失败（`cowrie.command.failed`），表明模拟环境中不存在该工具。 ### 持久化机制 该会话将以下公钥写入 `~/.ssh/authorized_keys`： ``` ssh-rsa AAAAB3NzaC1yc2EAAAABJ... mdrfckr ``` 此密钥及其 SHA-256（`a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2`）与 Trend Micro 在 2018 年发布的指标相匹配，并在随后所有的 mdrfckr 报告中得到一致记录。在四年的公开观察中，该密钥在此活动中从未改变。 ### 凭据轮换 在密钥注入后立即通过 `chpasswd` 更改了 root 密码。此操作如果在一个真实系统中成功执行，将锁定合法管理员，同时通过注入的 SSH 密钥保留攻击者的访问权限。 ### 进程清理 命令 `pkill -9 secure.sh` 和 `pkill -9 auth.sh` 针对的是与竞争的自动化活动相关的脚本。此行为与先前研究人员描述的驱逐竞争对手行为相一致——该脚本终止其他参与者的持久化工具，以宣称对受感染资源的独占访问。此传感器无法仅凭命令字符串的提示，独立确认被终止进程的身份或意图。 ### 身份验证后侦查 按顺序观察到以下侦查命令： ``` cat /proc/cpuinfo | grep name | wc -l cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}' free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}' ls -lh $(which ls) crontab -l w uname -m cat /proc/cpuinfo | grep model | grep name | wc -l uname -a whoami lscpu | grep Model df -h | head -n 2 | awk 'FNR == 2 {print $2;}' ``` 此序列收集 CPU 核心数、CPU 型号、可用内存、磁盘容量、系统架构、当前用户和现有的 cron 任务。根据 Trend Micro 发布的 Outlaw 分析，此特征与针对加密挖矿适用性的部署前系统评估相一致。**在此传感器上的任何捕获会话中，均未观察到部署挖矿二进制文件**——Cowrie 的模拟环境不会执行真实的二进制文件，因此超出命令阶段的部署行为是无法观察到的。 ## 源基础设施 在 21 天的观察窗口内，观察到 97 个唯一源 IP 写入 mdrfckr 密钥。Whois 分析显示了提供商类型的混合： | 提供商 | 数量 | 备注 | |---|---|---| | ACEVILLEPTELTD-SG | 7 | 位于新加坡的 VPS 托管 | | VOLCANO-ENGINE | 2 | ByteDance 云平台 | | MSFT (Azure) | 2 | Microsoft Azure — 被滥用的合法云 | | PONYNET | 2 | 廉价托管提供商 | | 拉丁美洲 ISP（Telefónica Brasil、Total Play MX 等） | 5+ | 消费者/企业 ISP 网段 | 专用 VPS 基础设施和消费者 ISP 地址空间并存，这与先前描述混合型僵尸网络（攻击者控制的扫描节点与之前被感染的第三方机器并存）的 mdrfckr 报告相一致。该传感器无法仅凭 whois 数据确认此结构；这是与已发布研究相一致的一种推断。 完整 IP 列表：[iocs/mdrfckr_ips.txt](./iocs/mdrfckr_ips.txt) ## 本观察未声明的内容 - **超出已发布记录的归因。** Outlaw/Dota 的归因来自于 Trend Micro 及随后的供应商研究，而不是仅仅来自此传感器的数据。 - **已确认的加密挖矿部署。** 侦查序列与先前研究中的挖矿分析一致，但在此传感器上未观察到任何挖矿二进制文件的执行。 - **僵尸网络规模。** 来自单个传感器的 97 个唯一 IP 是一个下限，而不是总体估算。 - **操作者意图或身份。** 命令字符串和基础设施模式仅按观察结果记录，不会做出超出日志数据直接支持范围的解读。 ## 检测指南 根据已发布的日志，针对 2022 年代指纹 `f555226df1963d1d3c09daf865abdc9a` 编写的基于 hassh 的检测规则将无法匹配 2026 年代的流量。此传感器确认两者同时处于活跃状态，这意味着检测覆盖需要同时包含这两个值。 **最可靠的指标（根据已发表的研究，自 2018 年以来未发生变化）：** - authorized_keys SHA-256：`a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2` - 公钥注释字符串：`mdrfckr` - 侦查命令序列：`/proc/cpuinfo`、`free -m`、`df -h`、`uname -m`、`crontab -l`、`w` - 清理命令：`pkill -9 secure.sh`、`pkill -9 auth.sh`、`echo > /etc/hosts.deny` **此传感器上观察到的当前 hassh 值：** - `f555226df1963d1d3c09daf865abdc9a`（2022 年代，2026 年 6 月仍处于活跃状态） - `03a80b21afa810682a776a7d42e5e6fb`（2026 年代，已在此传感器上确认） ## 妥协指标 | 类型 | 值 | |---|---| | authorized_keys SHA-256 | a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | | 公钥注释 | mdrfckr | | Hassh（2022 年代） | f555226df1963d1d3c09daf865abdc9a | | Hassh（2026 年代） | 03a80b21afa810682a776a7d42e5e6fb | | SSH 客户端 banner（2026） | SSH-2.0-libssh_0.11.1 | | Payload 主机（5 月 9 日会话） | 8.217.26.62 | | Payload URL | http://8.217.26.62:7156/linux | | Payload SHA-256 | 4355a46b19d348dc2f57c046f8ef63d4538ebb936000f3c9954a27460dd865 | | 关联域名 | m3.mdl66.xyz | 完整 IP 列表：[iocs/mdrfckr_ips.txt](./iocs/mdrfckr_ips.txt) ## 参考 - Trend Micro，Outlaw/Dota 报告（2018/2020）：https://www.trendmicro.com/en/research/20/b/outlaw-updates-kit-to-kill-older-miner-versions-targets-more-systems.html - port22.dk，“mdrfckrs — part one”（2023）：https://blog.port22.dk/mdrfckrs-part-one/ - port22.dk，“mdrfckrs — part two”（2023）：https://blog.port22.dk/mdrfckrs-part-two/ - Jesse La Grew，SANS ISC Diary 29878（2023 年 5 月）：https://isc.sans.edu/diary/29878 - Gokul Prema Thangavel，SANS ISC 访客日志（2026 年 5 月）：https://isc.sans.edu - VirusTotal：https://www.virustotal.com/gui/file/a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 *起草获得了 Claude (Anthropic) 的协助。所有的日志审查、hassh 验证、IP 枚举、会话重建以及与先前报告的比较，均基于传感器日志和引用的公开来源进行。*

标签：SSH安全, 代码示例, 内存分配, 威胁情报, 开发者工具, 数据分析, 蜜罐, 证书利用