警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击
感谢腾讯御见威胁情报中心来稿!
原文:https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA
一、概述
近日某企业Linux服务器出现卡慢,CPU占用高等现象,向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业 *** 运行情况进行安全审计。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定时任务下载执行病毒母体INT, INT内置了多个bash命令,会进一步下载执行Linux挖矿木马SystemMiner。
此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护,入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。
二、病毒分析
1. 入侵阶段
腾讯安全运维专家通过查看失陷主机相关日志,发现入侵者尝试数短时间内爆破SSH接近三千次,爆破入侵成功后会创建执行定时任务kpccv.sh。
2. 持久化
通过创建定时任务实现持久化,定时任务为sh脚本,脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。
Kpccv.sh经过bash64加密,其主要功能是下载病毒母体INT执行。为了避免下载地址失效,内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io,tor2web.in等得到完整的下载链接。
Kpccv.sh解密后的内容如下:
3. 病毒母体INT分析
INT为ELF格式可执行文件,运行后创建一子进程执行,内置了多个bash命令,经base64编码加密,每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。
3.1 本地持久化
该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码,其主要功能是下载执行病毒母体INT。
Base64解码后的bash脚本:
3.2 内网渗透&自保护
利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染,执行命令经过base64编码,解码后其功能为下载执行病毒母体INT
下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。
下载可执行文件bot,trc模块执行,目前下载链接已失效。
3.3 清理其他挖矿木马&屏蔽矿池网址
该模块主要功能是清理机器上的挖矿木马,并且修改hosts文件,将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0,以实现屏蔽其他挖矿网址实现独占系统资源。
3.4 下载执行挖矿木马
执行最核心的功能,下载执行挖矿木马。下载链接通过拼接而成,tencentxjy5kpccv.拼接tor2web.io等,挖矿模块cpu为ELF格式可执行文件。
执行门罗币挖矿,矿池配置如下:
三、安全建议
腾讯安全专家建议各企业对Linux服务器做以下加固处理:
1.采用高强度的密码,避免使用弱口令,并建议定期更换密码。建议服务器密码使用高强度无规律密码,并强制要求每个服务器使用不同密码管理;
2.排查相关Linux服务器是否有kpccv等相关定时任务,有则结束相关进程,清理相关木马文件;
3.在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。
4.推荐企业部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
IOCs:
MD5:
177e3be14adcc6630122f9ee1133b5d3
e5f8c201b1256b617974f9c1a517d662
b72557f4b94d500c0cd7612b17befb70
域名:
tencentxjy5kpccv.t.tor2web.io
tencentxjy5kpccv.t.tor2web.io
tencentxjy5kpccv.t.tor2web.to
tencentxjy5kpccv.t.tor2web.in
tencentxjy5kpccv.t.onion.to
tencentxjy5kpccv.t.onion.in.net
tencentxjy5kpccv.t.civiclink.network
tencentxjy5kpccv.t.onion.nz
tencentxjy5kpccv.t.onion.pet
tencentxjy5kpccv.t.onion.ws
tencentxjy5kpccv.t.onion.ly
矿池:
136.243.90.99:8080
“警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击” 的相关文章
英伟达泄露数据正被用来制作伪装成驱动的病毒
由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike...
俄罗斯面临 IT 危机 距离数据存储空间耗尽只剩下两个月
在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。 据俄罗斯新闻媒...
研究发现 Linux 和树莓派成为凭证黑客攻击的首要目标
新的研究表明,黑客经常使用相同的常用密码,通常是默认密码获得服务器的访问权。来自Bulletproof的数据还显示,在黑客使用的顶级默认凭证列表中,默认的Raspberry Pi用户名和登录信息占据了突出位置。 在整个2021年,利用蜜罐进行的研究表明,目前总网络活动的70%是机器人流量。随着黑客越...
3 月份近 90% 的网络攻击是针对俄罗斯和乌克兰的
我们已经习惯了来自俄罗斯的大量网络攻击,但在乌克兰被入侵后出现了一个有趣的转变,3月份70%的网络攻击反过来都是针对俄罗斯的。Atlas VPN的研究显示,还有19%的攻击是针对乌克兰的。美国是第三大目标,但国际局势让针对该国的攻击只占总数的5%。 3月5日,随着匿名黑客宣布对俄罗斯进行全面的网络...
DNS 曝高危漏洞,影响数百万物联网设备
近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为...
Okta 结束 Lapsus$ 黑客事件调查:攻击持续25分钟 仅两个客户受到影响
在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbur...
评论列表
发表评论
