1.概述:安田CERT和哈工大联合实验室通过网络安全监测发现Linux系统中存在挖矿木马事件。在挖矿木马的扫描策略中,使用云平台网段的硬编码IP地址作为起始地址。根据分析,确定挖矿木马对某云平台服务器有一定的针对性。基于这一特点,安田CERT将此次事件中的挖矿木马命名为“云铲”。挖矿木马运行后,通过服务器下载三个文件(主模块、恶意链接库、开源挖矿程序)。主要模块功能是用SSH暴力破解扫描目标,进而传播挖矿木马;使用下载的挖掘程序进行挖掘;将恶意链接库的路径写入预加载文件,通过屏蔽相关命令实现对恶意文件实体和恶意进程的搜索;将ssh公钥写入目标系统根目录。SSH目录,实现root对系统的长期访问。在主模块的初始阶段,使用一个云平台服务器的硬编码IP地址作为初始地址,包括该IP地址的同一网段和相邻网段的IP地址,然后随机扫描外网网段的IP地址和样本所在网络的外网IP地址,同时扫描内网的相关IP。通过对事件的详细分析,安应急中心在报告中给出了相应的检测、处置和加固方案。特别鸣谢:中国科学技术大学网络信息中心为本报告提供了相关帮助。目前,安田智佳终端防御系统(Linux版)可以实现对挖矿木马的查杀和有效防护。PTD可以检测流量中木马的传播,检测横向移动过程中的主机发现行为和端口扫描行为。同时支持检测各种具有控制能力的协议的暴力猜密码方法,如SSH、TELNET、RDP等。并有效地发现这种横向移动传输方法。
2.样本分析。经过分析判断,文件bioset是挖矿木马的主要模块。目标主机运行后,首先对相关目标进行SSH暴力破解,同时在/root/下创建authorized_keys文件。SSH/directory,并将SSH公钥信息写入其中,以便后续访问目标主机。其次,下载并运行挖掘程序(kthreadd)和新的主模块(bioset)。同时下载恶意链接库文件(libcurl.so.2.17.0),将该文件写入/etc/ld.so.preload,从而预加载相关命令,进而通过这些命令阻止对挖矿木马相关文件和进程的查看。
表2-1与挖矿木马相关的文件
2.1主模块分析2.1.1下载恶意文件bioset、kthreadd、libcurl.so.2.17.0
表2-2主要模块样本标签
模块连接到远程服务器http://www.fullskystar.top域名注册于2020年10月14日,通过POST请求指定参数并下载文件。
表2-3提交参数
2.1.2添加攻击者的SSH公钥,达到长期控制系统的目的。
图2-1将密钥信息写入文件
攻击者的公钥:
SSH-rsaaaaab 3 nzac 1 YC 2 eaaaabiwaaqeav 54 nagwgwm 626 zrsuei 0 bnvygjgs/ux7v 5 hklbzyfhem 3 aa 0 gfu 5 eqyqdnhpo 1 adakxwj 97 MRM 5a 2 vaftn n n 6 kuwnyrzpadkiuwmhnusw 7 e 1s 18 cltcbtrsc 0 rrdtnirslsltshlm 3 CNN MskKTW/vWz/oe3 ll 4 mmqxzlslvmpvvlg q 6 T3 xjfzz
2.1.3利用内置的密码表通过SSH暴力破解其他IP,用户名为root,传播挖矿木马。
图2-2使用口令表的SSH强力破解
这个挖矿木马利用密码表对相关网段的IP进行SSH暴力破解,总共有2000多个密码,部分如下。
图2-3密码表的一部分
2.1.4 SSH暴力破解主要在云平台的相关主机上进行。挖矿木马的母体中有一个硬编码的IP地址:8.129。* *,属于广东深圳的一个云平台。它的SSH暴力破解对象主要以这个IP地址为起始地址,包括其同一网段和相邻网段的IP。IP地址范围8.129.0.0-8.129.255.255属于云平台。
图2-4网段扫描
图2-5海外网段扫描
2.2采矿程序分析
表2-4采矿程序
挖掘程序(kthreadd)运行后,连接矿池地址www.fullskystar.top:443进行挖掘。挖掘程序是upx shell压缩的,是开源挖掘程序xmrig修改的,这里不做详细分析。配置信息如下:
图2-6挖掘程序配置信息
2.3恶意链接库分析
表2-5恶意链接库
恶意程序是一个动态链接库文件,由LD_PRELOAD加载。主要功能是隐藏恶意文件实体和相关网络链接。用户使用ls、netstat等命令查看时,无法发现恶意文件的存在。过滤四个字符串ld.so.preload、bioset、kthreadd和libcurl.so.2.17.0。
图2-7关于恶意链接库屏蔽的信息
当使用top,htop命令查看进程,w命令查看登录用户,uptime命令查看使用时间,ss,netstat命令查看网络运行时,如果以上四个字符串存在,恶意文件的相关信息将不会显示和隐藏。
图2-8恶意链接库注入的相关命令文件
3.检测、处置和加固方案3.1检测在主机端使用抗原终端防御系统(Linux版)进行。
图3-1抗原支甲的检测结果
使用安田海上威胁探测系统(PTD)在网络端进行探测。
图3-2安田探海探测下载采矿程序报警
图3-3安田海探探测SSH暴力破解
手动网络检测方法:在网关或流量镜像的Linux系统上执行以下命令进行检测,短时间内观察是否有异常SYN包发现类似外部扫描:tcpdump-I接口-nn’ TCP端口22和((TCP [TCP flags] (TCP-syn)!=0)(tcp[tcpflags](tcp-ack)==0))’
图3-4流量检测
3.2处置由于挖矿木马预装了恶意链接库,给处置带来一定的障碍,清除过程复杂。具体方法如下:首先安装busybox,使用此命令结合ps和kill命令,以路径“/usr/bin/bioset”和“/usr/bio/kthread”结束进程;其次,删除以下文件的只读属性。并清空/etc/ld.so.preload文件的内容;最后,删除以下文件中除/etc/ld.so.preload文件以外的四个文件。以上操作完成后,您可以在此确认相关文件是否正常删除。如果删除完成,挖矿木马将被清除。
/etc/LD . so . preload/lib/libcurl . so . 2 . 17 . 0/usr/bin/kthread/usr/bin/BIOS et/root/。ssh/授权密钥
以下代码是清除此挖矿木马的shell脚本代码。这段代码只在Centos7中测试,不在其他系统上测试。请参考使用。(如果删除root用户的authorized_keys文件会影响实际业务,可以手动删除木马编写的攻击者公钥。)
#!/usr/bin/bashwget https://busybox . net/downloads/binaries/1 . 28 . 1-def config-multi arch/busybox-x86 _ 64mv busybox-x86 _ 64 busybox chmod x busybox mv busybox/usr/bin/busybox PS-ef | grep/usr/bin/kthread | grep-v color | awk ‘ { print $ 1 } ‘ | xargs busybox kill busybox PS-ef | grep/usr/bin/BIOS et | GREssh/authorized _ keys busybox RM-RF/root/。ssh/authorized _ keys busybox chattr-I/lib/libcurl . so . 2 . 17 . 0 busybox RM-RF/lib/libcurl . so . 2 . 17 . 0
3.3强化1。建议更改root用户密码,至少15位数字,密码元素至少包含三个元素(大小写字母、数字和符号)。2.建议root用户在不影响业务的情况下尽量不要对外提供远程访问,可以使用其他自定义用户远程维护管理服务器。
暂无讨论,说说你的看法吧
