起因:
该公司收到一起紧急安全事件通报,公司数据中心内部某一网段内的六台服务器展现出异常行为,频繁对内网其他服务器发起攻击,引发安全警报。基于这一紧急状况,立即启动了详细的调查与应急响应流程。
受影响服务器详情:
以下是被通报的六台涉嫌内部攻击的服务器列表,其异常行为引发了本次调查的起始。
应急响应调查进展:
重点聚焦于其中一台主要攻击源服务器(IP地址:219.*.*.49),我们发现该服务器上存在一项名为.ucxin.sh的异常计划任务,伴随一名可疑用户yuanfa的创建,其活动首现于4月24日晚22时23分01秒。
经过对.ucxin.sh计划任务脚本的解码、深入分析及模拟运行,我们确认该脚本实质为一个恶意下载工具,利用暗网代理特性进行隐蔽通讯,如图所示。
该木马一旦激活,即以两个由六位字母或数字组成的进程名运行,进一步隐藏其踪迹。此外,感染期间,00文件存储病毒守护进程的PID,而11文件则保存病毒主进程的PID,表明了其复杂且有组织的活动模式。
传播路径与影响分析:
进一步调查显示,这六台服务器作为Hadoop数据库集群的一部分,因运维便利性配置了SSH无密码登录。这一配置漏洞不幸被利用,使得除了IP为219.*.*.49的服务器之外,其余五台也相继受到挖矿木马的感染和控制。
值得注意的是,该木马不仅利用已知漏洞,还积极尝试通过SSH暴力破解方式扩大其在内网的足迹,对其他节点发动批量攻击。日志分析显示,IP地址为192.168.*.1的主机存在大量针对219.*.*.49的SSH暴力登录尝试,极有可能是此次内网攻击的起点之一。
木马特征与确认:
综合上述分析,我们确认该恶意软件为Linux挖矿木马systemdMiner。该木马运用Bash命令下载并执行多模块功能组件,通过SSH暴力破解、SSH无密钥登录、Hadoop YARN未授权访问漏洞和自动化运维工具在内网扩散。其文件下载途径均采用暗网代理,以增加追踪难度。感染后,木马会清除系统中其他挖矿软件,确保独占系统资源,其行为模式如图展示。
应急响应结论:
此次企业内网遭受的攻击事件系挖矿木马systemdMiner在尝试内网扩散过程中引发,通过用户yuanfa账户部署的定时任务和进程实施。初步判断,该木马可能是利用了Hadoop YARN的未授权访问漏洞或弱口令账户作为入侵点,而疑似最初的攻击源头指向IP地址192.168.*.1。
后续行动建议:
已将疑似攻击源IP地址192.168.*.1的情况转交客户进行进一步调查和后续处理。至此,本次应急响应任务告一段落,但仍需持续监督网络环境,加强安全措施,防止类似事件重演。
结语
挖矿木马的威胁日益严峻,但通过建立全面的应急响应计划、采取主动防御措施,以及持续的安全意识教育,我们可以显著降低其带来的风险。记住,预防胜于治疗,构建坚固的网络安全防线是维护数字资产安全的基石。
原文始发于微信公众号(德斯克安全小课堂):案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论