典型挖矿病毒ATT&CK战术分析及防护策略

随着互联网的发展和智能终端的普及，攻击的学习成本越来越低，攻击软件也越来越智能化，随之普通初学者发起网络攻击的难度越来越小，企业网络安全运维人员承受着巨大的压力。国家出台了“等保”标准，该标准详细介绍了防护要求，减少了企业选择安全产品的难度，但是很多人肯定有非常多的困惑，为什么需要这些防护措施。Adversarial Tactics, Techniques, and Common Knowledge是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型（详细的ATT&CK技术可以参考本公众号上的《ATT&CK工控模型》微信文章），借鉴ATT&CK理论思路，我们从黑客攻击的角度来探讨攻击过程及应用的战术，然后介绍针对各种攻击战术的防护措施。本文先详细描述一个暴力攻击案例，然后介绍该案例涉及的战术及防护技术。

客户发现有一批 Linux RH6.7服务器的CPU占用非常高，经过两次清理之后无法完全清理病毒，并向我司求助，希望找出攻击源、清理病毒并实现网络安全防护。经过查看相关日志信息，初步分析三次攻击时间如下：

经过详细分析，我们发现其攻击过程为外部攻击主机通过192.168.A.B对外提供的SSH服务（端口22）实施SSH密码暴力破解，横向SSH暴力破解内网其他机器，再上传挖矿软件并执行挖矿代理程序和挖矿程序，然后通过可以联通互联网的挖坑代理192.168.X.Y上传相关挖矿信息。

( 1 ) 暴力破解：通过对SSH服务进行暴力破解192.168.A.B，然后再向其他主机进行SSH爆破登录，爆破过程如下图所示：

( 2 ) 病毒启动过程：创建目录->上传文件->执行x，执行a->a启动crontab执行upd->upd去执行run->run去执行真正的挖矿程序（详细过程后续章节介绍），如下图所示：

( 3 ) 挖矿病毒执行：所有的被感染的主机作为挖矿主机，连接主机192.168.X.Y的3333端口服务并把挖矿信息上传到该主机上，192.168.X.Y主机再把挖矿信息上传到矿池服务器45.125.194.18:80上

“ATT&CK工控模型”文章“针对工控系统的战术和技术矩阵”中小节汇总了11种战术和81种技术，根据我们对这次攻击事件的总结，此次事件中涉及中的8种战术和9种技术，攻击技术如下表所示：

外网通过SSH暴力破解并横向暴力破解流程如上，SSH服务记录登录认证日志到/var/log/secure，同时操作系统用户认证过程也相应会记录失败和成功日志到/var/log/wtmp和/var/log/btmp文件中，可以分别通过last和lastb查看登录日志信息。

( 1 ) 通过SCP或其他文件上传工具上传病毒文件，并保存在/dev/shm/.ssh/目录，文件内容如下：

( 2 ) 然后执行x脚本

a.X脚本执行a脚本，创建定时任务并执行run脚本

b.执行run脚本

( 3 ) 定时器定时执行upd脚本

a.UPD脚本检测挖矿病毒程序是否运行，如果没有运行，则启动

b.定时脚本执行日志内容如下

( 1 ) 所有的挖矿机连接代理服务器192.168.X.Y的3333服务并上传挖矿信息。

( 2 ) 内网唯一一个IP地址192.168.X.Y具有访问外网权限

( 3 ) 挖矿代理服务器的IP地址为192.168.X.Y，默认开启3333和4444端口，其连接外网的45.125.194.18矿池服务器。

a.192.168.X.Y连接矿池服务器的45.125.194.18的用户为

b.192.168.X.Y连接矿池服务器的45.125.194.18的密码为 CTC:[email protected]

c.详细配置如下：

( 4 ) 通过访问该矿池服务地址及微步查询45.125.194.18，确定该服务器提供挖矿病毒的服务。

通过分析的日志信息，发现攻击时段内/var/log/目录下大多数的日志都没有，包括lastlog、secure、messages、syslog、xferlog、auth.log、user.log，所幸保留了btmp和cron相关日志。

( 1 ) 首先通过查看wtmp文件的最后更新时间及文件大小，初步判断登录信息已经被清除。

( 2 ) 然后通过last命令查看最近登录的日志信息，发现登录日志的最后登录时间中只有最近一次登录的时间，登录信息已经被攻击者清除。

针对此次攻击涉及的技术，为每种攻击技术找到对应等保防护要求，然后按照威努特安全解决方案给出每类攻击技术的防护方法：

( 1 ) 攻击技术对应等保规范防护要求

( 2 ) 攻击技术对应解决方案防护方法

通过一个典型的攻击案例，基于攻击者视角来追踪现实世界中使用和出现过的攻击技术并提供相应的防护手段，也就是说从攻击方的角度来阐述安全产品功能的必要性和防护方法。本文只是讲述一个简单的Linux挖矿病毒攻击案例，后续根据文章的反馈情况讲解Windows挖矿病毒、勒索病毒等常用案例并介绍应用的攻击战术及相应的防护方法。

原文来源：威努特工控安全