歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Dota Campaign:分析一款挖礦與后門并存的木馬

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

就在前不久,我自己部署的一個蜜罐受到了一次特別嚴重的攻擊,其中涉及到了兩個遠程訪問工具和一個加密貨幣惡意挖礦文件。接下來,我將在這篇文章中跟大家分析一下這一波攻擊,并看看攻擊者所使用的攻擊技術。值得一提的是,現在的互聯網中這類攻擊每秒鐘都會發生一次。
初始感染
根據攻擊文件的內容,我將此次攻擊命名為了“Dota Campaign”。在此攻擊活動中,攻擊者通過弱SSH憑證獲取到了目標設備的初始訪問權。我的SSH蜜罐所使用的用戶名和密碼均為salvatore,下面給出的是我SSH日志的初始登錄數據:

完成認證之后,攻擊者立刻通過SSH執行了系統命令,而且所有命令都是通過實際的SSH命令傳遞進來的,因為我的系統是一個安裝了自定義OpenSSH版本的蜜罐,所以我們可以查看到攻擊者執行的命令:

首先,攻擊者通過HTTP向主機54.37.70[.]249請求了一個名為.x15cache的文件,然后在等待了10秒鐘之后執行了該文件。除此之外,攻擊者還將用戶密碼修改為了一個隨機字符串。.x15cache文件的內容如下:

由此看來,.x15cache文件應該只是一個負責設置環境的Dropper,它還會獲取主機54.37.70[.]249中的其他文件。第二個文件名叫dota2.tar.gz,這個tar文件包含的是一段惡意代碼,目錄名為.rsync。我用我的文件檢測腳本提取了該文件中的部分內容:

.x15cache腳本會切換到這個.rsync目錄中,然后嘗試執行./cron和./anacron文件。攻擊者使用了“||”或語句來讓./cron文件先執行,如果執行失敗則執行./anacron。.rsync目錄中還有一個文件,這個文件似乎從來不會運行,我們一起看一看:

i686架構針對的是32位環境,x86_64架構針對的是64位環境。如果cron是64位代碼,那么anacron就是32位的了。運行之后我們也證實了這一點:

因為這兩個文件其實做的是同一件事情,所以我們只需要分析其中一個就可以了。
分析cron代碼
我們先通過strings命令收集一些基本信息,其中的“cryptonight”字符串吸引了我的注意:

實際上,CryptoNight是一種工作量證明算法,它可以適用于普通PC的CPU,但它不適用于專門的挖礦設備,所以CryptoNight暫時只能用CPU挖礦。
得知它跟挖礦有關之后,我們看看strings命令還能找到些什么:

上圖為xmrig命令的幫助頁面,而它是一款針對門羅幣的CPU挖礦軟件。除此之外,我們還捕捉到了編譯時間信息:2019年5月3日,也就是上個月。
接下來,我們一起分析一下網絡流量。我們可以看到代碼跟新的主機5.255.86[.]129:80建立了連接:

運行tcpdump捕捉流量后,我們用Wireshark對其進行了分析:

客戶端會向服務器發送一些json數據,而且這里還包含了XMrig參數以及cn參數(CryptoNight)。
攻擊第二階段
在運行了上述命令之外,攻擊者還會在幾秒鐘之后運行另一波命令:

這一次,攻擊者的操作目錄為/dev/shm,并從之前的主機54.37.70[.]249獲取rp和.satan這兩個文件,。接下來,攻擊者會嘗試運行sudo命令來獲取root權限,然后以root權限感染.satan腳本。.satan文件內容如下:

這個satan腳本首先會創建一個名為srsync的系統服務文件,然后自動運行。srsync服務會調用腳本/usr/local/bin/srsync.sh,而srsync.sh腳本會運行rsync.pl在這個perl腳本以及ps.bin代碼文件。rsync.pl腳本來自于/dev/shm/rp,會跟.satan腳本一起從服務器傳送過來,并使用wget命令獲取ps.bin代碼文件(來自于主機54.37.70[.]249)。需要注意的是,在惡意挖礦軟件中,攻擊者使用了crul作為wget的備用命令,
分析ps.bin文件

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 中金黄金股票分析 网上兼职赚钱是否可靠 用100赚钱 三亚开一个洗草厂赚钱吗 翻译英语赚钱软件下载 小米微信赚钱软件下载 炒股就这几招 怎么用苹果手机赚钱软件下载 2019农业种什么赚钱 做那些小型工厂赚钱吗 师门不赚钱 送外卖怎样送赚钱吗 车载赚钱 赚钱不养台独 什么软件签到最赚钱的软件下载 网上赚钱月入千万