捕获一起恶意入侵事件的攻击溯源

栏目: 数据库 · 发布时间: 5年前

内容简介:近日,深信服安全团队接到客户本地的安全感知报警,提示有恶意的CC访问连接报警,访问恶意域名down.mys2018.xyz达到了1057次、访问my2018.zxy达到了490次主机直接被标记为了已失陷,经过较多的杀毒软件查杀均未查杀出异常,后续经过相关的排查发现服务器存在较大的安全隐患,与Myking团伙有较大的关联。多方面的分析发现,客户本地存在较多的恶意脚本与病毒文件根据现象情况梳理与日志分析、结合对一些进程内存的分析等多方面检测定义为多次恶意入侵的安全事件。进程当中发现了大量恶意的wscript.

0×0 背景

近日,深信服安全团队接到客户本地的安全感知报警,提示有恶意的CC访问连接报警,访问恶意域名down.mys2018.xyz达到了1057次、访问my2018.zxy达到了490次主机直接被标记为了已失陷,经过较多的杀毒软件查杀均未查杀出异常,后续经过相关的排查发现服务器存在较大的安全隐患,与Myking团伙有较大的关联。

0×1  总体情况

多方面的分析发现,客户本地存在较多的恶意脚本与病毒文件根据现象情况梳理与日志分析、结合对一些进程内存的分析等多方面检测定义为多次恶意入侵的安全事件。

0×2 进程检查

进程当中发现了大量恶意的wscript.exe的进程数量约为30多个调用,均为 最高权限 通过系统命令调用参数文件为C:\users\public\documents\1.vbs的执行脚本,且该进程的父进程为本地运行sqlserver.exe数据库进程。

捕获一起恶意入侵事件的攻击溯源

打开1.vbs的内容进行代码分析发现此脚本是通过调用本地的wscript.exe 从互联网上下载恶意的挖矿组件进行虚拟挖矿的程序。

核心代码如下:

捕获一起恶意入侵事件的攻击溯源

url路径为: http://q.112adfdae.tk/&wenjian

powered.exe为挖矿的主要进程,config.json为挖矿的配置文件;之前有分析过类似的文件这里不多做介绍。

0×3 开机启动项

通过对开机启动项目的检查也通用发现了一个叫fuckyoumm2_consumerde的WMI项目:

捕获一起恶意入侵事件的攻击溯源

启动内容如下主要是从 http://down.mys2018.xyz:280/psa.jpg 下载内容并保存为指定路径下C:\windows\ps.exe并执行:

捕获一起恶意入侵事件的攻击溯源

在注册表里面的开机启动项目发现了一个clean.vbs的异常项目:

捕获一起恶意入侵事件的攻击溯源

通过对内容的分析发现此为一个针对 redis 入侵的一个payload:

捕获一起恶意入侵事件的攻击溯源

通过对注册表的检查一个诡异的bat文件出现在眼前,路径为:

C:\windows\system32\wbem\123.bat

捕获一起恶意入侵事件的攻击溯源

主要内容如下主要功能也是从远端下载样本回来并执行:

捕获一起恶意入侵事件的攻击溯源

0×4 攻击溯源

通过对sqlserver的检查发现该数据库一直遭受到来自互联网的暴力破解攻击主要用户为sa且xp_shell功能已经处于开启状态,由于日志不全面暂时无法确认是具体时间点开启。

捕获一起恶意入侵事件的攻击溯源

捕获一起恶意入侵事件的攻击溯源

同时在web系统的目录下面发现了一个多功能的大马webshell为sqzr.jsp上传时间为2018年6月6日。

捕获一起恶意入侵事件的攻击溯源

捕获一起恶意入侵事件的攻击溯源

在redis的目录下面也发现黑客上传的SSH登录的Key,这个操作可以说很6了毕竟这是windows系统。

捕获一起恶意入侵事件的攻击溯源

通过对本地的端口开放情况进行检查发现redis的进程一直保持着较多的通信,同时检查了配置文件发现未开启授权访问。

捕获一起恶意入侵事件的攻击溯源

0×5 清理

1.删除系统目录下的1.vbs  123.bat  clean.vbs等恶意脚本;

2.删除web系统目录下的helloworld.jar 与helloworld目录的webshell后门;

3.删除黑客上传的root文件;

4.删除fuckyoumm2_consumerde、clean.vbs、123.bat的开机启动项。

0×6 加固与建议

1.添加redis的访问密码、同时设置redis的访问控制;

2.修复Openfire的安全漏洞升级到最新版本或者更新补丁包;

3.添加sqlserver的安全加固设置强密码策略与访问控制策略,关闭危险的xp_shell的命令执行功能;

4.深信服EDR产品、下一代防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。其中EDR产品,采用深信服SAVE智能安全检测引擎,通过人工智能自主学习自动识别未知威胁,无需任何升级即可自主检测查杀病毒最新变种。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Effective C# 中文版

Effective C# 中文版

Bill Wagner / 李建忠 / 人民邮电出版社 / 2007-5 / 49.00元

本书围绕一些关于C#和.NET的重要主题,包括C#语言元素、.NET资源管理、使用C#表达设计、创建二进制组件和使用框架等,讲述了最常见的50个问题的解决方案,为程序员提供了改善C#和.NET程序的方法。本书通过将每个条款构建在之前的条款之上,并合理地利用之前的条款,来让读者最大限度地学习书中的内容,为其在不同情况下使用最佳构造提供指导。 本书适合各层次的C#程序员阅读,同时可以推荐给高校教......一起来看看 《Effective C# 中文版》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具