sysrvhello 僵尸网络最新攻击活动分析

  • A+
所属分类:安全新闻

sysrvhello 僵尸网络最新攻击活动分析


1

前言

2021年6月30号,举国上下喜迎建党一百周年,氛围满满!网络环境表面风平浪静,实则暗潮汹涌。微步在线研究人员最近发现 sysrvhello 僵尸网络的最新活动,它通过 JBoss 远程命令执行、Hadoop 未授权访问漏洞、Laravel 远程代码执行等漏洞传播,对互联网环境影响较为严重。微步在线主机威胁检与测响应平台 OneEDR(以下简称 OneEDR )界面的告警信息在警惕我们维护网络安全时刻不能松懈!

2

事件起因

2021年6月30号下午,雷声、雨声、风声和告警信息搅和在一起,真是太可怕了。在 OneEDR 主机告警界面出现2条告警信息,分别是系统内部伪装成内核模块进程名的恶意进程,以及有可疑进程外连恶意软件(194.145.227.21)。

3

告警排查分析

3.1 告警详情分析

在左侧菜单栏首页下主机列表中点击第一条告警信息,查看详情可以得知,系统内部伪装成内核模块进程名的恶意进程 l48wzb 与恶意软件情报IP 194.145.227.21 进行了通信。
sysrvhello 僵尸网络最新攻击活动分析

经排查 OneEDR 日志得知,主机通过访问http://194.145.227.21下载了ldr.sh。

sysrvhello 僵尸网络最新攻击活动分析

同时,查看 json 数据,识别出下载请求的 UserAgent 为 cve_2017_12149。

sysrvhello 僵尸网络最新攻击活动分析

如下图所示,点击查看流程图发现, l48wzb 木马进行自我复制(kthreaddi),经发现木马与 Cron 计划任务有关联,说明木马是由计划任务启动的,存在恶意的计划任务,以及执行了 netstat 、xargs 等命令。初步判定是为了加强自身隐蔽效果,防止被完全查杀。

sysrvhello 僵尸网络最新攻击活动分析

sysrvhello 僵尸网络最新攻击活动分析


该恶意计划任务每分钟执行一次。

sysrvhello 僵尸网络最新攻击活动分析


3.2 攻击原因排查

登录服务器后,经排查,这台主机的其他用户日志无异常信息,也无 SSH 爆破成功入侵行为,该主机除了 JBoss 应用外没其他应用服务。之后访问这台主机(IP:8080)的 JBoss 主页面,发现应用服务都出现了故障。

sysrvhello 僵尸网络最新攻击活动分析


查看 JBoss 日志(jboss/server/default/log/server.log),发现 /invoker有报错信息 。

sysrvhello 僵尸网络最新攻击活动分析

同时,使用 # history 排查历史命令发现含有1条危险的命令;

sysrvhello 僵尸网络最新攻击活动分析

使用 # ps -ef|grep l48 查看相关进程,在 OneEDR 告警界面也显示了可疑进程pid为10420;

sysrvhello 僵尸网络最新攻击活动分析

使用 # ll /proc/10420/exe 命令发现可疑进程被执行后删除了,可以先恢复 # cat /proc/10420/exe > /home/jboss/1 这个进程;

sysrvhello 僵尸网络最新攻击活动分析
sysrvhello 僵尸网络最新攻击活动分析

根据刚才的 OneEDR 告警信息显示存在定时任务,这里是每分钟执行一次 kwfro9 任务。虽然跟 OneEDR 检测到的进程名 l48wzb 不一样,是因为木马复制自身随机命名的原因(后面会提到),但是它的创建时间是2021-06-30 14:09,与检测到的时间一致,MD5 也一致。

#crontab -l
sysrvhello 僵尸网络最新攻击活动分析


# ll /usr/local/jboss/docs/examples/jmx/mbean-configurator.sar/org/jboss/jmx/examples/configuration/   

sysrvhello 僵尸网络最新攻击活动分析

检验 MD5

#md5sum 1 kwfro9  

(D87F84D6C9B3ABC288B82AB1B745590A)

sysrvhello 僵尸网络最新攻击活动分析

4

样本分析

通过分析 ldr.sh(d5c0f3993bb246c7c1f643c322da444f)可知,它首先执行了时间 MD5 校验、清除历史命令、禁用防火墙、清空防火墙规则、清除 /etc/hosts 的挖矿域名解析。根据 /etc/passwd 的输出来判定用户的目录,先判定/tmp、/var/tmp、/dev/shm、/usr/bin、/root中的一个文件夹是否存在。如若存在,则下载木马(主要为了方便在各种不同的主机下载木马),执行后并删除文件。

sysrvhello 僵尸网络最新攻击活动分析

为了保障自身的利益最大化,清除竞品、杀掉其他进程,比如扫描、其他挖矿程序等。让自身独占受害主机,卸载安全服务,这也是老僵尸网络常用的手法。

sysrvhello 僵尸网络最新攻击活动分析


拿刚还原的木马 /home/jboss/1 (D87F84D6C9B3ABC288B82AB1B745590A)进行动静态结合分析。

执行木马后,首先它会提示一段俄文(俄文的意思为‘扫描’),它会以随机命名的方式复制到随机目录,然后删除自身。
sysrvhello 僵尸网络最新攻击活动分析
sysrvhello 僵尸网络最新攻击活动分析

该木马首先会判断受害机用户的 id、uid 权限。
sysrvhello 僵尸网络最新攻击活动分析


通过动态调试发现,该样本内嵌了 Sock5 代理,且会通过代理访问网站。

sysrvhello 僵尸网络最新攻击活动分析

基于 base64 加密去执行相关的命令,可以拿 base64 的密文到相关网站去解密即可看到明文。

sysrvhello 僵尸网络最新攻击活动分析

sysrvhello 僵尸网络最新攻击活动分析

sysrvhello 僵尸网络最新攻击活动分析


该木马会获取到受害主机的用户名以及其他信息。

sysrvhello 僵尸网络最新攻击活动分析


该木马利用的漏洞包括 Hadoop 未授权访问漏洞、weblogic远程代码执行、worldpress 暴力破解、thinkphp 远程代码执行、Redis 远程代码执行、Jboss 远程代码执行、Laravel 远程代码执行、XXL-JOB executor 未授权访问漏洞。
这里可以看到编译样本的文件路径:/user/k/go/src/。

sysrvhello 僵尸网络最新攻击活动分析


通过与其3月份的版本的对比,发现写法都差不多,是一个版本的更新。根据信息关联,可以确认为 sysrvhelo 挖矿,下图是 sysrvhello 3月份的版本。

sysrvhello 僵尸网络最新攻击活动分析

网络通信分析:

运行 ldr.sh 后,首先向 C2 请求下载木马 sys.x86_64。

sysrvhello 僵尸网络最新攻击活动分析

与 C2 的80端口通信,校验 MD5,加入 C2 的通信频道,互相确认在线状况。

sysrvhello 僵尸网络最新攻击活动分析


受害主机会不断随机扫描外部主机(图为 Hadoop 未授权访问漏洞),如果扫到有漏洞的机器,则会自动化进行漏洞入侵并下载 ldr.sh,这样就形成了一轮新的感染。 

sysrvhello 僵尸网络最新攻击活动分析
sysrvhello 僵尸网络最新攻击活动分析

以下为 XMR 的挖矿通信特征 ,可以清楚的看到 XMR 的钱包地址以及 xmrig 的标识。

sysrvhello 僵尸网络最新攻击活动分析

 

简易流程图如下:

sysrvhello 僵尸网络最新攻击活动分析

 

5

信息关联

根据在网络数据中发现的钱包地址,在矿池查看它的收益,算力在4.5M左右。从目前看,这个钱包总收益为75个门罗币(黑客有可能还使用了其他钱包,最近的门罗币好像都跌了,可能走不上人生巅峰了)。

sysrvhello 僵尸网络最新攻击活动分析


从蜜罐数据来看,该 ip 的有效攻击量为1563条,属于传播较为广泛的僵尸网络。

sysrvhello 僵尸网络最新攻击活动分析


面对乌鸦坐飞机,只有魔法才能打败魔法。

sysrvhello 僵尸网络最新攻击活动分析


6

总结与思考

6.1 事件总结

本次事件是通过 OneEDR 网络、文件等系统行为发现中的,OneEDR 在主机上运用了行为规则、智能事件聚合等技术手段,实现对木马入侵事件的精准发现,能发现已知或未知的威胁。通过 OneEDR 的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。
OneEDR 是一款专注于主机入侵检测的新型终端防护平台,通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段。充分利用 ATT&CK 对攻击全链路进行多点布控,全面发现入侵行为的蛛丝马迹。

6.2 事件思考

1、随着近几年5G物联网的迅速发展,物联网设备数量呈几何增长,物联网设备已经成为主要的攻击目标。

2、随着云服务的不断增多,使用各种应用服务的主机也会越来越多,这会让僵尸网络迅速增加自己的 bot。与此同时,黑客租用的是国外匿名廉价的 VPS,它不但成本低,而且溯源难度较高,所以,以后僵尸网络只会越来越多。

3、目前的僵尸网络以 DDoS 和挖矿的木马为主。

6.3 处置建议

1、清除定时任务并删掉里面涉及的文件;

2、清理并删除名为 /tmp/随机目录/kthreaddi;

3、把应用服务升级到最新的版本,切勿使用弱口令;

4、WordPress、Jenkins、Redis 等服务组件配置强密码;

5、非必须的情况下,不对外开放 Redis 端口。


- END -


公众号内回复“sys”,可获取完整版(含IOC) PDF 版报告。



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

本文始发于微信公众号(微步在线研究响应中心):sysrvhello 僵尸网络最新攻击活动分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: