就在前不久,我自己部署的一个蜜罐受到了一次特别严重的攻击,其中涉及到了两个远程访问工具和一个加密货币恶意挖矿文件。接下来,我将在这篇文章中跟大家分析一下这一波攻击,并看看攻击者所使用的攻击技术。值得一提的是,现在的互联网中这类攻击每秒钟都会发生一次。

初始感染

根据攻击文件的内容,我将此次攻击命名为了“Dota Campaign”。在此攻击活动中,攻击者通过弱SSH凭证获取到了目标设备的初始访问权。我的SSH蜜罐所使用的用户名和密码均为salvatore,下面给出的是我SSH日志的初始登录数据:

完成认证之后,攻击者立刻通过SSH执行了系统命令,而且所有命令都是通过实际的SSH命令传递进来的,因为我的系统是一个安装了自定义OpenSSH版本的蜜罐,所以我们可以查看到攻击者执行的命令:

首先,攻击者通过HTTP向主机54.37.70[.]249请求了一个名为.x15cache的文件,然后在等待了10秒钟之后执行了该文件。除此之外,攻击者还将用户密码修改为了一个随机字符串。.x15cache文件的内容如下:

由此看来,.x15cache文件应该只是一个负责设置环境的Dropper,它还会获取主机54.37.70[.]249中的其他文件。第二个文件名叫dota2.tar.gz,这个tar文件包含的是一段恶意代码,目录名为.rsync。我用我的文件检测脚本提取了该文件中的部分内容:

.x15cache脚本会切换到这个.rsync目录中,然后尝试执行./cron和./anacron文件。攻击者使用了“||”或语句来让./cron文件先执行,如果执行失败则执行./anacron。.rsync目录中还有一个文件,这个文件似乎从来不会运行,我们一起看一看:

i686架构针对的是32位环境,x86_64架构针对的是64位环境。如果cron是64位代码,那么anacron就是32位的了。运行之后我们也证实了这一点:

因为这两个文件其实做的是同一件事情,所以我们只需要分析其中一个就可以了。

分析cron代码

我们先通过strings命令收集一些基本信息,其中的“cryptonight”字符串吸引了我的注意:

实际上,CryptoNight是一种工作量证明算法,它可以适用于普通PC的CPU,但它不适用于专门的挖矿设备,所以CryptoNight暂时只能用CPU挖矿。

得知它跟挖矿有关之后,我们看看strings命令还能找到些什么:

上图为xmrig命令的帮助页面,而它是一款针对门罗币的CPU挖矿软件。除此之外,我们还捕捉到了编译时间信息:2019年5月3日,也就是上个月。

接下来,我们一起分析一下网络流量。我们可以看到代码跟新的主机5.255.86[.]129:80建立了连接:

运行tcpdump捕捉流量后,我们用Wireshark对其进行了分析:

客户端会向服务器发送一些json数据,而且这里还包含了XMrig参数以及cn参数(CryptoNight)。

攻击第二阶段

在运行了上述命令之外,攻击者还会在几秒钟之后运行另一波命令:

这一次,攻击者的操作目录为/dev/shm,并从之前的主机54.37.70[.]249获取rp和.satan这两个文件,。接下来,攻击者会尝试运行sudo命令来获取root权限,然后以root权限感染.satan脚本。.satan文件内容如下:

这个satan脚本首先会创建一个名为srsync的系统服务文件,然后自动运行。srsync服务会调用脚本/usr/local/bin/srsync.sh,而srsync.sh脚本会运行rsync.pl在这个perl脚本以及ps.bin代码文件。rsync.pl脚本来自于/dev/shm/rp,会跟.satan脚本一起从服务器传送过来,并使用wget命令获取ps.bin代码文件(来自于主机54.37.70[.]249)。需要注意的是,在恶意挖矿软件中,攻击者使用了crul作为wget的备用命令,

分析ps.bin文件

简单分析后,我发现ps.bin是实际上是一个32位代码文件:

使用strings搜索之后,我发现代码提到了ssh,所有我又用grep命令搜索了“ssh”:

我首先注意到的是一个用于向~/authorized_keys文件添加RSA密钥的系统命令,实际上这就是在创建一个SSH后门,因为攻击者可以使用关联的RSA私钥来实现账号认证。随后我还发现了大量跟ssh有关的内容,原来这些都属于函数名称:

就此看来,我们面对的就是一个纯SSH后门了。

代码分析

首先,我们看一看后门代码中的IP地址:

而且变量名明显为西班牙语,emmmm…..

接下来,定位到软件主函数的循环:

它主要负责持续监听IRC服务器发送过来的命令,parse函数用来判断命令内容:

我还注意到了一个针对shell函数的调用:

$comando指的就是系统命令了,看来这又是第二个后门,而这个后门基于的是IRC信道。我们可以通通过netstat命令来查看信道的连接和建立:

设置好tcpdump命令后,运行perl脚本,然后通过WireShark分析流量,下面给出的是完整的TCP数据流:

这是标准的IRC流量,客户端会持续获取用户名,成功之后便会加入一个##root信道,而且服务器端还是2019年5月7日创建的。

值得一提的是,这里面似乎还嵌入了一部分DoS攻击代码:

入侵威胁指标IoC-哈希(MD5)

.satan: 36e692c1e58b53f54ae4966d15fdfa84rsync.pl: 52a422722c479d8c5483d2db9267e4cdps.bin: 04d0658afae3ea7b0fdaf6a519f2e28cdota2.tar.gz: 2cfb1ad304940ae7e3af954d5c1d1363.x15cache: 6d6fb279bb78b25413a441e4bfd3ded9cron: fdb085727694e327c8758061a224166banacron: 2c15d9bcd208c9446b14452d25d9ca84

* 参考来源:kindredsec,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

说点什么
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...