歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

安天蜜網捕獲“利用ElasticSearch Groovy漏洞進行門羅幣(Dog)挖礦”事件分析

來源:本站整理 作者:佚名 時間:2019-06-26 TAG: 我要投稿

1、概述
2019年6月13日,安天蜜網捕獲到利用CVE-2015-1427(ElasticSearch Groovy)遠程命令執行漏洞的攻擊行為。該漏洞原理是Elaticsearch將groovy作為腳本語言,并使用基于黑白名單的沙盒機制限制危險代碼執行,但該機制不夠嚴格,可以被繞過,從而導致出現遠程代碼執行的情況。安天對此次事件進行了詳細的樣本分析,并給出預防及修復建議。
2 、樣本分析
2.1 關鍵攻擊載荷
從攻擊載荷來看,攻擊者通過groovy作為腳本語言,向_search?pretty頁面發送一段帶有惡意鏈接為http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json腳本,進行惡意shell腳本下載,從而實現遠程代碼攻擊,并進行挖礦行為。

圖 2-1 數據包內容
解密后核心代碼:

圖 2-2 核心代碼
2.2 樣本分析
1) 入侵腳本分析—init.sh
攻擊者通過http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下載并執行惡意腳本init.sh來植入Dog挖礦程序,同時對主機進行掃描等一系列操作。

圖 2-3 關閉防火墻
之后執行關閉防火墻、關閉selinux并釋放占用的資源、殺掉其他與挖礦相關的進程、設置定時任務(每30分鐘下載一次可執行文件update.sh),獲取ssh權限,進行iptables規則轉發修改,同時清理相關操作歷史、日志等操作。

圖 2-4 檢查并殺死其它存在的挖礦進程

圖 2-5 設置定時任務

圖 2-6 惡意腳本下載地址、備份地址以及大小設置

圖 2-7 清理相關日志、歷史
在此過程中,腳本會檢查sysupdate、networkservice 和sysguard這3個進程是否啟動,如果沒有則進行啟動。

圖 2-8 當其中一個被kill掉后,調度文件重新啟動
2) 樣本分析—sysguard、networkservice、sysupdate
三個樣本為go語言編寫并使用UPX加殼,對應的main_main函數結構分別如下:

圖 2-9 sysguard-main_main函數結構

圖 2-10 networkservice-main_main函數結構

圖 2-11 sysupdate-main函數
通過與之前捕獲的systemctI樣本對比發現,此次攻擊分成挖礦、掃描、函數調用三個進程進行調度。并且在networkservice樣本中發現了相關漏洞利用函數和掃描函數。

圖 2-12 networkservice掃描函數
通過對比之前捕獲的樣本發現兩次攻擊手法類似,不同的是此次攻擊是通過sysguard、networkservice(掃描)和sysupdate三個進程共同進行的。這也意味著,發現服務器被感染后要將這三個進程同時kill掉。
3) 配置文件—config.json
在下載的配置文件中,我們發現了多個礦池地址:
表 2-1 礦池列表:


圖 2-13 s配置文件
3、受影響的服務及漏洞
表 3-1 受影響的服務和漏洞:

4、IOC
表 4-1 攻擊IP:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺