内容简介:就在前不久,我自己部署的一个蜜罐受到了一次特别严重的攻击,其中涉及到了两个远程访问工具和一个加密货币恶意挖矿文件。接下来,我将在这篇文章中跟大家分析一下这一波攻击,并看看攻击者所使用的攻击技术。值得一提的是,现在的互联网中这类攻击每秒钟都会发生一次。根据攻击文件的内容,我将此次攻击命名为了“Dota Campaign”。在此攻击活动中,攻击者通过弱SSH凭证获取到了目标设备的初始访问权。我的SSH蜜罐所使用的用户名和密码均为salvatore,下面给出的是我SSH日志的初始登录数据:
就在前不久,我自己部署的一个蜜罐受到了一次特别严重的攻击,其中涉及到了两个远程访问 工具 和一个加密货币恶意挖矿文件。接下来,我将在这篇文章中跟大家分析一下这一波攻击,并看看攻击者所使用的攻击技术。值得一提的是,现在的互联网中这类攻击每秒钟都会发生一次。
初始感染
根据攻击文件的内容,我将此次攻击命名为了“Dota Campaign”。在此攻击活动中,攻击者通过弱SSH凭证获取到了目标设备的初始访问权。我的SSH蜜罐所使用的用户名和密码均为salvatore,下面给出的是我SSH日志的初始登录数据:
完成认证之后,攻击者立刻通过SSH执行了系统命令,而且所有命令都是通过实际的SSH命令传递进来的,因为我的系统是一个安装了自定义OpenSSH版本的蜜罐,所以我们可以查看到攻击者执行的命令:
首先,攻击者通过HTTP向主机54.37.70[.]249请求了一个名为.x15cache的文件,然后在等待了10秒钟之后执行了该文件。除此之外,攻击者还将用户密码修改为了一个随机字符串。.x15cache文件的内容如下:
由此看来,.x15cache文件应该只是一个负责设置环境的Dropper,它还会获取主机54.37.70[.]249中的其他文件。第二个文件名叫dota2.tar.gz,这个tar文件包含的是一段恶意代码,目录名为.rsync。我用我的文件检测脚本提取了该文件中的部分内容:
.x15cache脚本会切换到这个.rsync目录中,然后尝试执行./cron和./anacron文件。攻击者使用了“||”或语句来让./cron文件先执行,如果执行失败则执行./anacron。.rsync目录中还有一个文件,这个文件似乎从来不会运行,我们一起看一看:
i686架构针对的是32位环境,x86_64架构针对的是64位环境。如果cron是64位代码,那么anacron就是32位的了。运行之后我们也证实了这一点:
因为这两个文件其实做的是同一件事情,所以我们只需要分析其中一个就可以了。
分析cron代码
我们先通过strings命令收集一些基本信息,其中的“cryptonight”字符串吸引了我的注意:
实际上,CryptoNight是一种工作量证明算法,它可以适用于普通PC的CPU,但它不适用于专门的挖矿设备,所以CryptoNight暂时只能用CPU挖矿。
得知它跟挖矿有关之后,我们看看strings命令还能找到些什么:
上图为xmrig命令的帮助页面,而它是一款针对门罗币的CPU挖矿软件。除此之外,我们还捕捉到了编译时间信息:2019年5月3日,也就是上个月。
接下来,我们一起分析一下网络流量。我们可以看到代码跟新的主机5.255.86[.]129:80建立了连接:
运行tcpdump捕捉流量后,我们用Wireshark对其进行了分析:
客户端会向服务器发送一些json数据,而且这里还包含了XMrig参数以及cn参数(CryptoNight)。
攻击第二阶段
在运行了上述命令之外,攻击者还会在几秒钟之后运行另一波命令:
这一次,攻击者的操作目录为/dev/shm,并从之前的主机54.37.70[.]249获取rp和.satan这两个文件,。接下来,攻击者会尝试运行sudo命令来获取root权限,然后以root权限感染.satan脚本。.satan文件内容如下:
这个satan脚本首先会创建一个名为srsync的系统服务文件,然后自动运行。srsync服务会调用脚本/usr/local/bin/srsync.sh,而srsync.sh脚本会运行rsync.pl在这个 perl 脚本以及ps.bin代码文件。rsync.pl脚本来自于/dev/shm/rp,会跟.satan脚本一起从服务器传送过来,并使用wget命令获取ps.bin代码文件(来自于主机54.37.70[.]249)。需要注意的是,在恶意挖矿软件中,攻击者使用了crul作为wget的备用命令,
分析ps.bin文件
简单分析后,我发现ps.bin是实际上是一个32位代码文件:
使用strings搜索之后,我发现代码提到了ssh,所有我又用grep命令搜索了“ssh”:
我首先注意到的是一个用于向~/authorized_keys文件添加RSA密钥的系统命令,实际上这就是在创建一个SSH后门,因为攻击者可以使用关联的RSA私钥来实现账号认证。随后我还发现了大量跟ssh有关的内容,原来这些都属于函数名称:
就此看来,我们面对的就是一个纯SSH后门了。
代码分析
首先,我们看一看后门代码中的IP地址:
而且变量名明显为西班牙语,emmmm…..
接下来,定位到软件主函数的循环:
它主要负责持续监听IRC服务器发送过来的命令,parse函数用来判断命令内容:
我还注意到了一个针对 shell 函数的调用:
$comando指的就是系统命令了,看来这又是第二个后门,而这个后门基于的是IRC信道。我们可以通通过netstat命令来查看信道的连接和建立:
设置好tcpdump命令后,运行perl脚本,然后通过WireShark分析流量,下面给出的是完整的TCP数据流:
这是标准的IRC流量,客户端会持续获取用户名,成功之后便会加入一个##root信道,而且服务器端还是2019年5月7日创建的。
值得一提的是,这里面似乎还嵌入了一部分DoS攻击代码:
入侵威胁指标IoC-哈希(MD5)
.satan: 36e692c1e58b53f54ae4966d15fdfa84 rsync.pl: 52a422722c479d8c5483d2db9267e4cd ps.bin: 04d0658afae3ea7b0fdaf6a519f2e28c dota2.tar.gz: 2cfb1ad304940ae7e3af954d5c1d1363 .x15cache: 6d6fb279bb78b25413a441e4bfd3ded9 cron: fdb085727694e327c8758061a224166b anacron: 2c15d9bcd208c9446b14452d25d9ca84
* 参考来源: kindredsec ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 前端技术 | dva,美貌与智慧并存
- J2Cache 2.7.2 发布,解决多个实例并存问题
- 真实与炒作,发展与失望并存的一年:大咖共同回首2018展望2019
- 个人信息黑产链:内鬼与黑客并存,一次交易动辄数十万条
- 用WSL(Win10linux子系统)构建Golang的Windows和linux并存开发环境
- 【安全帮】彭博社指控华为网络设备有后门,但所谓的后门只不过是普通漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Spring实战(第4版)
Craig Walls 沃尔斯 / 张卫滨 / 人民邮电出版社 / 2016-4-1 / CNY 89.00
《Spring实战(第4版)》是经典的、畅销的Spring学习和实践指南。 第4版针对Spring 4进行了全面更新。全书分为四部分。第1部分介绍Spring框架的核心知识。第二部分在此基础上介绍了如何使用Spring构建Web应用程序。第三部分告别前端,介绍了如何在应用程序的后端使用Spring。第四部分描述了如何使用Spring与其他的应用和服务进行集成。 《Spring实战(第4......一起来看看 《Spring实战(第4版)》 这本书的介绍吧!