安天CERT聯(lián)合哈爾濱工業(yè)大學聯(lián)合實驗室通過網(wǎng)絡安全監(jiān)測發(fā)現(xiàn)了一起Linux系統(tǒng)挖礦木馬事件。在該挖礦木馬的掃描策略中����,以硬編碼的某云平臺網(wǎng)段IP地址作為起始地址。分析人員判定該挖礦木馬對某云平臺服務器存在一定的針對性��,安天CERT基于此特點將該事件中的挖礦木馬命名為“云鏟”��。
該挖礦木馬運行后通過服務器下載三個文件(主模塊��、惡意鏈接庫、開源挖礦程序)��。主模塊功能為對掃描到目標進行SSH暴力破解��,進而傳播該挖礦木馬����;運行下載的挖礦程序進行挖礦;將惡意鏈接庫路徑寫入預加載文件中��,實現(xiàn)屏蔽相關命令對惡意文件實體和惡意進程的查找����;將SSH公鑰寫入目標系統(tǒng)root用戶.ssh目錄中�����,實現(xiàn)以root用戶對該系統(tǒng)的長期訪問��。主模塊初始階段掃描以其硬編碼的某云平臺服務器IP地址作為起始地址��,包括該IP地址的同網(wǎng)段和相鄰網(wǎng)段IP地址�,后續(xù)隨機掃描外網(wǎng)段IP地址及樣本所在網(wǎng)絡的外網(wǎng)IP地址,同時對內網(wǎng)相關IP進行掃描���。
安天CERT通過對該起事件的詳細分析�����,在報告中給出了相應的檢測����、處置和加固方案。
特別致謝:中國科學技術大學網(wǎng)絡信息中心針對本篇報告提供的相關幫助�����。
目前��,安天智甲終端防御系統(tǒng)(Linux版本)可實現(xiàn)對該挖礦木馬的查殺與有效防護��。
安天探海威脅檢測系統(tǒng)(PTD)可以在流量中檢測該木馬的傳播�,對橫向移動過程中的主機發(fā)現(xiàn)行為和端口掃描行為進行檢測。同時支持對各類具有控制能力的協(xié)議如SSH��、TELNET�����、RDP等協(xié)議的暴力密碼猜解方式進行檢測����,有效發(fā)現(xiàn)此類橫向移動傳播方式��。
經(jīng)分析研判�,文件bioset為該挖礦木馬的主模塊���,其在目標主機運行后首先針對相關目標進行SSH暴力破解���,同時在/root/.ssh/目錄下創(chuàng)建authorized_keys文件,并將SSH公鑰信息寫入其中���,以便后續(xù)對該目標主機的訪問����。其次下載并運行挖礦程序(kthreadd)和新的主模塊(bioset)����,同時下載了惡意鏈接庫文件(libcurl.so.2.17.0)�,將該文件寫入/etc/ld.so.preload中,實現(xiàn)針對相關命令的預加載���,進而屏蔽這些命令對該挖礦木馬相關文件�����、進程的查看��。
表 2-1挖礦木馬相關文件
2.1.1 下載惡意文件bioset �,kthreadd,libcurl.so.2.17.0
表 2-2主模塊樣本標簽
該模塊連接到遠程服務器http://www.fullskystar.top����,該域名注冊時間為2020年10月14日,通過POST請求指定參數(shù)���,下載文件�����。
表 2-3提交參數(shù)
2.1.2 添加攻擊者的SSH公鑰�����,達到長期控制該系統(tǒng)的目的
攻擊者公鑰:
SSH-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAv54nAGwGwm626zrsUeI0bnVYgjgS/ux7V5phklbZYFHEm+3Aa0gfu5EQyQdnhTpo1adaKxWJ97mrM5a2VAfTN+n6KUwNYRZpaDKiUwmHNUSW7E1S18ClTCBtRsC0rRDTnIrslTRSHlM3cNN+MskKTW/vWz/oE3ll4MMQqexZlsLvMpVVlGq6t3XjFXz0ABBI8GJ0RaBS81FS2R1DNSCb+zORNb6SP6g9hHk1i9V5PjWNqNGXyzWIrCxLc88dGaTttUYEoxCl4z9YOiTw8F5S4svbcqTTVIu/zt/7OIQixDREGbddAaXZXidu+ijFeeOul/lJXEXQK8eR1DX1k2VL+w== rsa 2048-040119 |
2.1.3 使用內置的密碼表對其它IP進行SSH暴力破解�����,用戶名為root�����,傳播挖礦木馬�。
該挖礦木馬使用密碼表對相關網(wǎng)段IP進行SSH暴力破解,密碼數(shù)量共計2000多個�����,部分如下:
2.1.4 主要針對某云平臺相關主機進行SSH暴力破解
在挖礦木馬母體中存在一個硬編碼的IP地址:8.129.*.*���,該IP地址隸屬于廣東省深圳市某云平臺��。其SSH暴力破解對象主要以該IP地址作為起始地址�,包括其同網(wǎng)段和相鄰網(wǎng)段的IP����。而IP地址8.129.0.0-8.129.255.255的范圍隸屬于某云平臺。
其中還針對內網(wǎng)�����、樣本所在的外網(wǎng)IP以及部分境外網(wǎng)段進行IP掃描����。
挖礦程序(kthreadd)運行后連接礦池地址www.fullskystar.top:443進行挖礦。挖礦程序使用upx殼進行了壓縮�����,由開源挖礦程序xmrig修改而來����,在此不做詳細分析。配置信息如下:
該惡意程序為動態(tài)鏈接庫文件��,通過LD_PRELOAD方式被加載�。主要功能是將惡意文件實體和相關的網(wǎng)絡鏈接進行隱藏,當用戶使用ls和netstat等命令進行查看時���,無法發(fā)現(xiàn)惡意文件的存在��。對4個字符串ld.so.preload�����、bioset��、kthreadd和libcurl.so.2.17.0進行過濾�����。
當使用命令top�,htop命令查看進程,使用命令w查看登錄用戶�,使用uptime查看使用時間,使用ss�����,netstat查看網(wǎng)絡操作時�����,如果存在上面4個字符串��,則不進行顯示�����,隱藏惡意文件相關信息��。
網(wǎng)絡手動檢測方法:
網(wǎng)關或流量鏡像處Linux系統(tǒng)上執(zhí)行如下命令進行檢測,短時間內觀察是否有異常的SYN數(shù)據(jù)包來發(fā)現(xiàn)類似的對外掃描:
tcpdump -i < interface> -nn "tcp port 22 and ((tcp[tcpflags]&(tcp-syn)!=0)&&(tcp[tcpflags]&(tcp-ack)==0))"
圖 3-4流量檢測
由于該挖礦木馬通過預加載惡意鏈接庫���,給處置帶來一定阻礙,清除過程復雜�。具體方法如下:
首先,安裝busybox����,利用該命令結合ps、kill命令結束路徑為“/usr/bin/bioset”�、“/usr/bio/kthreadd”的進程;其次����,將下列文件只讀屬性去除。并將/etc/ld.so.preload文件內容置空���;最后刪除下列文件中除/etc/ld.so.preload文件之外的四個文件��,以上操作完成后��,可在此確認相關文件是否正常刪除�����,若刪除完畢�,則完成該挖礦木馬的清除。
/etc/ld.so.preload /lib/libcurl.so.2.17.0 /usr/bin/kthreadd /usr/bin/bioset /root/.ssh/authorized_keys |
以下代碼為清除該挖礦木馬的shell腳本代碼�����,該代碼僅在Centos7中測試��,未在其他系統(tǒng)上測試�,請參考使用。(若刪除root用戶的authorized_keys文件會影響實際業(yè)務�����,可手工刪除木馬寫入的攻擊者公鑰��。)
#!/usr/bin/bash wget https://busybox.net/downloads/binaries/1.28.1-defconfig-multiarch/busybox-x86_64 && mv busybox-x86_64 busybox && chmod +x busybox && mv busybox /usr/bin/ busybox ps -ef |grep /usr/bin/kthreadd |grep -v color |awk '{print $1}'| xargs busybox kill busybox ps -ef |grep /usr/bin/bioset |grep -v color |awk '{print $1}'| xargs busybox kill busybox chattr -i /etc/ld.so.preload busybox echo "" >> /etc/ld.so.preload busybox chattr -i /usr/bin/kthreadd busybox rm -rf /usr/bin/kthreadd busybox chattr -i /usr/bin/bioset busybox rm -rf /usr/bin/bioset busybox chattr -i /root/.ssh/authorized_keys busybox rm -rf /root/.ssh/authorized_keys busybox chattr -i /lib/libcurl.so.2.17.0 busybox rm -rf /lib/libcurl.so.2.17.0 |
1. 建議更換root用戶密碼�,密碼位數(shù)至少為15位,密碼元素至少包含三種元素(大小寫字母�����,數(shù)字��,符號)��。
2. 建議在不影響業(yè)務的情況下,root用戶盡量不對外提供遠程訪問����,可使用其他自定義用戶對服務器進行遠程維護和管理。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
