今年6月,SkidMap又开始新一轮挖矿活动,攻击手段相较于以前更加复杂。SkidMap挖矿家族存在两种主要的变体,目标分别为Debian/Ubuntu 和 RedHat/CentOS,根据不同的版本下发不同的攻击套件实施挖矿攻击。
目前支持Linux发行版有:Alibaba、Anolis、openEuler、EulerOS、Steam、CentOS、RedHat 和 Rock。
此次攻击事件调查过程中发现,SkidMap通过植入Rootkit隐藏进程和文件;利用内存加载、阻止busybox、unhide、csysdig等监控和取证工具执行、阻止新的内核模块加载等方式,对抗取证调查;大部分恶意文件都在执行后立即删除,尽可能做到“无文件攻击”;并且使用多种持久化手段,比如,替换umount命令、替换agetty/ssh程序、篡改getty服务、劫持PAM认证等,长期隐蔽驻留在主机中,难以完全清除。
Skidmap挖矿家族攻击目的,不局限于挖矿,还窃取系统登录密码,以便于长期持久化控制。
SkidMap完整攻击路径如下:
1 事件调查过程
1.1 主机异常定位
EDR检测到Linux服务器外连挖矿域名,应急响应时,发现可疑网络连接,但无法找到对应进程名,没有发现挖矿进程。
1.2 Rootkit攻击遏制
怀疑主机存在Rootkit进行进程隐藏,阻止busybox进程执行。
在主机上执行LinuxAR Rootkit事件响应工具进行排查,发现主机存在可疑的两个内核模块mcpuinfo与kmeminfo。根据经验判断,此次为Skidmap家族Rootkit攻击事件,通过LinuxAR先将内核模块卸载,解除主机其他恶意行为的隐藏状态,为了进一步调查取证。
1.3 Rootkit取证过程
保存dump内核模块内存。
解除隐藏进程状态后,异常外连关联到进程名telinited.znkj。
发现其他可疑外连进程gettexted.vqufw。
发现公共矿池域名信息mail.shenjinai.top。
由于解除隐藏行为,发现CPU高占比挖矿进程gettexted.vqufw。
发现7个落地文件被删除的异常进程,文件名称格式为固定名称.五位随机字符。
排查可疑进程已经打开的fd,发现读取/run下的特定文件防止进程多开,绑定/dev/null,存在多个socket通信。
发现可疑的密码记录文件。
通过 /proc/pid/exe > file,从内存中获取7个进程程序,进行分析。从postmaped(详情请见,揭秘SkidMap Rootkit复杂挖矿活动(二))中获取到几个可疑服务的名称:systemd-firstload、systemd-udeved、systemd-udeved.service、systemd-reboot、systemd-logined、systemd-runlevel、systemd-cgroup、systemd-deltaed
排查主机未发现对应可疑系统服务,也未发现常规计划任务和自启动脚本。
目前,重启主机后Rootkit还是会二次加载,通过已知信息,可以推测,在系统中存在某个自启动程序,当系统开机或者ssh用户登录时,释放6个或更多未知的恶意文件以及2个内核模块文件,加载后一并删除。
为了防止系统重启后删除恶意文件,将系统rm命令替换为cp命令,尝试阻止恶意程序删除其他文件。执行reboot,这次重启后,6个恶意文件和2个内核模块文件没有被删除,说明推测正确。
通过对/usr/bin目录下已知的恶意文件biosdecoded.xxxxx、postcated.xxxxx、develinked.xxxxx、postmaped.xxxxx、telinited.xxxxx、gettexted.xxxxx与可疑内核模块文件的落地时间分析发现,都被篡改为2012-2-23 09:26:37。推测攻击者释放的其他恶意文件,落地时间戳可能都被修改为同一时间。
通过时间戳检索出其他恶意文件,验证猜测。
下图为检索出主机其他的恶意文件(详情请见,揭秘SkidMap Rootkit复杂挖矿活动(二)- 样本分析)。
对mldconfig初步分析,得知ssh和scp被替换。
to be continue ... ...
原文始发于微信公众号(TahirSec):Linux | 揭秘SkidMap Rootkit复杂挖矿活动(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论