一起进程隐藏的SSH横向挖矿事件

admin 2025年5月27日10:42:19评论51 views字数 1072阅读3分34秒阅读模式

一起进程隐藏的SSH横向挖矿事件

    很久没说挖矿了,这周分享个挖矿案例吧,比较简单的一个挖矿事件,内网使用SSH暴破横向,然后通过mount挂载隐藏挖矿进程,直接来看案例吧!

事件背景

    客户反馈内网有SSH暴破行为,同时还存在挖矿通信,通信的流量被监测到并通报了,监管单位责令客户马上溯源并处置,于是我就闪亮登场了。

一起进程隐藏的SSH横向挖矿事件

现场排查

    上面那个图就是挖矿的进程,矿池地址是93.*.*.73,挖矿进程是netools,但其实如果没有做卸载处理,netstat能看到PID号是“-”字符串,不过我记不得截图了,给大家看看怎么处理mount挂载隐藏进程的情况。首先用mount过滤一下“/proc”字符串,如果有类似的PID就要注意了,下图就是挂载了devtmpfs隐藏PID31292的进程

一起进程隐藏的SSH横向挖矿事件

    实现的原理大家自行去搜索引擎扩展吧,我不展开说,这里给好学的好兄弟提一嘴,这种隐藏手段极其简单,容易被发现,厉害一点用库文件劫持和配置劫持,再厉害一点的用rootkitebpf,感兴趣的自己了解,后面有合适的案例我可以发出来,不过原理性的内容需要自己学习,因为太枯燥了。回到主题,umonut取消一下挂载就可以看到被隐藏的进程了,我们看看这个隐藏进程netools的服务

一起进程隐藏的SSH横向挖矿事件

    从服务的信息很清楚的就能很直观的看到是一个SSHsession会话拉起的netools程序,也就是说攻击者直接通过10.*.*.1122117SSH上来执行了netools挖矿程序,使用last看看SSH登录情况,也确实是这么回事,应该这就是上层攻击IP

一起进程隐藏的SSH横向挖矿事件

    看看netools的进程文件,发现自删除了

一起进程隐藏的SSH横向挖矿事件

    这样的话事情可能就不简单了,存在自删除的挖矿一般都有维持项,我们先看看定时任务,好家伙,一堆异常的随机定时任务

一起进程隐藏的SSH横向挖矿事件

    里面的内容都是启动一个异常的可执行程序

一起进程隐藏的SSH横向挖矿事件

    来到/bin目录下面,除了这个异常的可执行程序外,还发现几个异常的可执行程序

一起进程隐藏的SSH横向挖矿事件

    除此之外,根据异常的可执行程序文件再查看一下服务,发现存在一个异常的随机字符服务

一起进程隐藏的SSH横向挖矿事件

    这台服务器就基本查完了,继续看上层攻击IP10.*.*.112这台,发现同样的异常挂载情况

一起进程隐藏的SSH横向挖矿事件

    其他的异常也和上一台一样,就不展开了,直接看SSH登录日志,根据落地文件时间确定上层攻击IP10.*.*.254,这是网关IP,所以答案已经呼之欲出了,不小心映射了SSH到狗公网导致

一起进程隐藏的SSH横向挖矿事件

    另外其实还排查了一样被感染的服务器,不过源头都是10.*.*.112,就不赘述了,简单发个截图

一起进程隐藏的SSH横向挖矿事件一起进程隐藏的SSH横向挖矿事件

原文始发于微信公众号(sec0nd安全):一起进程隐藏的SSH横向挖矿事件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月27日10:42:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一起进程隐藏的SSH横向挖矿事件https://cn-sec.com/archives/4002229.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息