案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

admin 2024年6月17日15:13:12评论14 views字数 1235阅读4分7秒阅读模式

起因:

该公司收到一起紧急安全事件通报,公司数据中心内部某一网段内的六台服务器展现出异常行为,频繁对内网其他服务器发起攻击,引发安全警报。基于这一紧急状况,立即启动了详细的调查与应急响应流程。

受影响服务器详情:

以下是被通报的六台涉嫌内部攻击的服务器列表,其异常行为引发了本次调查的起始。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

应急响应调查进展:

重点聚焦于其中一台主要攻击源服务器(IP地址:219.*.*.49),我们发现该服务器上存在一项名为.ucxin.sh的异常计划任务,伴随一名可疑用户yuanfa的创建,其活动首现于4月24日晚22时23分01秒。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

经过对.ucxin.sh计划任务脚本的解码、深入分析及模拟运行,我们确认该脚本实质为一个恶意下载工具,利用暗网代理特性进行隐蔽通讯,如图所示。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

该木马一旦激活,即以两个由六位字母或数字组成的进程名运行,进一步隐藏其踪迹。此外,感染期间,00文件存储病毒守护进程的PID,而11文件则保存病毒主进程的PID,表明了其复杂且有组织的活动模式。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

传播路径与影响分析:

进一步调查显示,这六台服务器作为Hadoop数据库集群的一部分,因运维便利性配置了SSH无密码登录。这一配置漏洞不幸被利用,使得除了IP为219.*.*.49的服务器之外,其余五台也相继受到挖矿木马的感染和控制。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

值得注意的是,该木马不仅利用已知漏洞,还积极尝试通过SSH暴力破解方式扩大其在内网的足迹,对其他节点发动批量攻击。日志分析显示,IP地址为192.168.*.1的主机存在大量针对219.*.*.49的SSH暴力登录尝试,极有可能是此次内网攻击的起点之一。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

木马特征与确认:

综合上述分析,我们确认该恶意软件为Linux挖矿木马systemdMiner。该木马运用Bash命令下载并执行多模块功能组件,通过SSH暴力破解、SSH无密钥登录、Hadoop YARN未授权访问漏洞和自动化运维工具在内网扩散。其文件下载途径均采用暗网代理,以增加追踪难度。感染后,木马会清除系统中其他挖矿软件,确保独占系统资源,其行为模式如图展示。

案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

应急响应结论:

此次企业内网遭受的攻击事件系挖矿木马systemdMiner在尝试内网扩散过程中引发,通过用户yuanfa账户部署的定时任务和进程实施。初步判断,该木马可能是利用了Hadoop YARN的未授权访问漏洞或弱口令账户作为入侵点,而疑似最初的攻击源头指向IP地址192.168.*.1。

后续行动建议:

已将疑似攻击源IP地址192.168.*.1的情况转交客户进行进一步调查和后续处理。至此,本次应急响应任务告一段落,但仍需持续监督网络环境,加强安全措施,防止类似事件重演。

结语

挖矿木马的威胁日益严峻,但通过建立全面的应急响应计划、采取主动防御措施,以及持续的安全意识教育,我们可以显著降低其带来的风险。记住,预防胜于治疗,构建坚固的网络安全防线是维护数字资产安全的基石。

原文始发于微信公众号(德斯克安全小课堂):案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日15:13:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   案例分享——某公司企业服务器遭遇挖矿病毒侵袭事件https://cn-sec.com/archives/2856110.html

发表评论

匿名网友 填写信息