Dota Campaign:分析一款挖矿与后门并存的木马

栏目: 编程工具 · 发布时间: 5年前

内容简介:就在前不久,我自己部署的一个蜜罐受到了一次特别严重的攻击,其中涉及到了两个远程访问工具和一个加密货币恶意挖矿文件。接下来,我将在这篇文章中跟大家分析一下这一波攻击,并看看攻击者所使用的攻击技术。值得一提的是,现在的互联网中这类攻击每秒钟都会发生一次。根据攻击文件的内容,我将此次攻击命名为了“Dota Campaign”。在此攻击活动中,攻击者通过弱SSH凭证获取到了目标设备的初始访问权。我的SSH蜜罐所使用的用户名和密码均为salvatore,下面给出的是我SSH日志的初始登录数据:

就在前不久,我自己部署的一个蜜罐受到了一次特别严重的攻击,其中涉及到了两个远程访问 工具 和一个加密货币恶意挖矿文件。接下来,我将在这篇文章中跟大家分析一下这一波攻击,并看看攻击者所使用的攻击技术。值得一提的是,现在的互联网中这类攻击每秒钟都会发生一次。

初始感染

根据攻击文件的内容,我将此次攻击命名为了“Dota Campaign”。在此攻击活动中,攻击者通过弱SSH凭证获取到了目标设备的初始访问权。我的SSH蜜罐所使用的用户名和密码均为salvatore,下面给出的是我SSH日志的初始登录数据:

Dota Campaign:分析一款挖矿与后门并存的木马

完成认证之后,攻击者立刻通过SSH执行了系统命令,而且所有命令都是通过实际的SSH命令传递进来的,因为我的系统是一个安装了自定义OpenSSH版本的蜜罐,所以我们可以查看到攻击者执行的命令:

Dota Campaign:分析一款挖矿与后门并存的木马

首先,攻击者通过HTTP向主机54.37.70[.]249请求了一个名为.x15cache的文件,然后在等待了10秒钟之后执行了该文件。除此之外,攻击者还将用户密码修改为了一个随机字符串。.x15cache文件的内容如下:

Dota Campaign:分析一款挖矿与后门并存的木马

由此看来,.x15cache文件应该只是一个负责设置环境的Dropper,它还会获取主机54.37.70[.]249中的其他文件。第二个文件名叫dota2.tar.gz,这个tar文件包含的是一段恶意代码,目录名为.rsync。我用我的文件检测脚本提取了该文件中的部分内容:

Dota Campaign:分析一款挖矿与后门并存的木马

.x15cache脚本会切换到这个.rsync目录中,然后尝试执行./cron和./anacron文件。攻击者使用了“||”或语句来让./cron文件先执行,如果执行失败则执行./anacron。.rsync目录中还有一个文件,这个文件似乎从来不会运行,我们一起看一看:

Dota Campaign:分析一款挖矿与后门并存的木马

i686架构针对的是32位环境,x86_64架构针对的是64位环境。如果cron是64位代码,那么anacron就是32位的了。运行之后我们也证实了这一点:

Dota Campaign:分析一款挖矿与后门并存的木马

因为这两个文件其实做的是同一件事情,所以我们只需要分析其中一个就可以了。

分析cron代码

我们先通过strings命令收集一些基本信息,其中的“cryptonight”字符串吸引了我的注意:

Dota Campaign:分析一款挖矿与后门并存的木马

实际上,CryptoNight是一种工作量证明算法,它可以适用于普通PC的CPU,但它不适用于专门的挖矿设备,所以CryptoNight暂时只能用CPU挖矿。

得知它跟挖矿有关之后,我们看看strings命令还能找到些什么:

Dota Campaign:分析一款挖矿与后门并存的木马

上图为xmrig命令的帮助页面,而它是一款针对门罗币的CPU挖矿软件。除此之外,我们还捕捉到了编译时间信息:2019年5月3日,也就是上个月。

接下来,我们一起分析一下网络流量。我们可以看到代码跟新的主机5.255.86[.]129:80建立了连接:

Dota Campaign:分析一款挖矿与后门并存的木马

运行tcpdump捕捉流量后,我们用Wireshark对其进行了分析:

Dota Campaign:分析一款挖矿与后门并存的木马

客户端会向服务器发送一些json数据,而且这里还包含了XMrig参数以及cn参数(CryptoNight)。

攻击第二阶段

在运行了上述命令之外,攻击者还会在几秒钟之后运行另一波命令:

Dota Campaign:分析一款挖矿与后门并存的木马

这一次,攻击者的操作目录为/dev/shm,并从之前的主机54.37.70[.]249获取rp和.satan这两个文件,。接下来,攻击者会尝试运行sudo命令来获取root权限,然后以root权限感染.satan脚本。.satan文件内容如下:

Dota Campaign:分析一款挖矿与后门并存的木马

这个satan脚本首先会创建一个名为srsync的系统服务文件,然后自动运行。srsync服务会调用脚本/usr/local/bin/srsync.sh,而srsync.sh脚本会运行rsync.pl在这个 perl 脚本以及ps.bin代码文件。rsync.pl脚本来自于/dev/shm/rp,会跟.satan脚本一起从服务器传送过来,并使用wget命令获取ps.bin代码文件(来自于主机54.37.70[.]249)。需要注意的是,在恶意挖矿软件中,攻击者使用了crul作为wget的备用命令,

分析ps.bin文件

简单分析后,我发现ps.bin是实际上是一个32位代码文件:

Dota Campaign:分析一款挖矿与后门并存的木马

使用strings搜索之后,我发现代码提到了ssh,所有我又用grep命令搜索了“ssh”:

Dota Campaign:分析一款挖矿与后门并存的木马

我首先注意到的是一个用于向~/authorized_keys文件添加RSA密钥的系统命令,实际上这就是在创建一个SSH后门,因为攻击者可以使用关联的RSA私钥来实现账号认证。随后我还发现了大量跟ssh有关的内容,原来这些都属于函数名称:

Dota Campaign:分析一款挖矿与后门并存的木马

就此看来,我们面对的就是一个纯SSH后门了。

代码分析

首先,我们看一看后门代码中的IP地址:

Dota Campaign:分析一款挖矿与后门并存的木马

而且变量名明显为西班牙语,emmmm…..

接下来,定位到软件主函数的循环:

Dota Campaign:分析一款挖矿与后门并存的木马

它主要负责持续监听IRC服务器发送过来的命令,parse函数用来判断命令内容:

Dota Campaign:分析一款挖矿与后门并存的木马

我还注意到了一个针对 shell 函数的调用:

Dota Campaign:分析一款挖矿与后门并存的木马

$comando指的就是系统命令了,看来这又是第二个后门,而这个后门基于的是IRC信道。我们可以通通过netstat命令来查看信道的连接和建立:

Dota Campaign:分析一款挖矿与后门并存的木马

设置好tcpdump命令后,运行perl脚本,然后通过WireShark分析流量,下面给出的是完整的TCP数据流:

Dota Campaign:分析一款挖矿与后门并存的木马

这是标准的IRC流量,客户端会持续获取用户名,成功之后便会加入一个##root信道,而且服务器端还是2019年5月7日创建的。

值得一提的是,这里面似乎还嵌入了一部分DoS攻击代码:

Dota Campaign:分析一款挖矿与后门并存的木马

入侵威胁指标IoC-哈希(MD5)

.satan: 36e692c1e58b53f54ae4966d15fdfa84
rsync.pl: 52a422722c479d8c5483d2db9267e4cd
ps.bin: 04d0658afae3ea7b0fdaf6a519f2e28c
dota2.tar.gz: 2cfb1ad304940ae7e3af954d5c1d1363
.x15cache: 6d6fb279bb78b25413a441e4bfd3ded9
cron: fdb085727694e327c8758061a224166b
anacron: 2c15d9bcd208c9446b14452d25d9ca84

* 参考来源: kindredsec ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

仿生智能计算

仿生智能计算

科学出版社 / 2011-1 / 50.00元

《仿生智能计算》系统、深入地介绍了仿生智能计算的起源、原理、模型、理论及其应用,力图概括国内外的最新研究进展。全书共分12章,主要包括仿生智能计算的思想起源、研究现状及机制原理,仿生智能计算的数学基础;蚁群算法、微粒群算法、人工蜂群算法、微分进化算法、Memetic算法、文化算法、人工免疫算法、DNA计算的原理、模型、理论和典型应用,以及仿生硬件、仿生智能计算研究前沿与展望。附录给出了各章算法的程......一起来看看 《仿生智能计算》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具