ca88登陆平台

某政企用户SystemdMiner挖矿木马应急事务措置

功夫:2020-07-09 作者:

分享到:

6月17日,,,,,,安服应急响应团队接到某政企用户的应急响应要求,,,,,,客户服务器存在被种植挖矿木马病毒法式,,,,,,态势感知出现病毒告警,,,,,,要求对服务器后门进行排查,,,,,,对攻击起源进行追忆。。。 。。

应急响应人员到达现场后进行排查,,,,,,发现有38台服务器受到SystemdMiner挖矿木马最新变种病毒习染,,,,,,且存在内网横向传布,,,,,,截至6.24晚23点累计发现被习染主机多达69台,,,,,,严沉影响业务系统的正常运行。。。 。。大局比力严格,,,,,,经过短暂的内部切磋,,,,,,安服掌管人当即组织团队,,,,,,组成应急幼组,,,,,,对应该局单元进行大面积排查。。。 。。

6月17日-6月24日,,,,,,应急幼组通过近一周的现场排查,,,,,,成功溯源并复现了攻击者的攻击蹊径,,,,,,并对客户网络存在的安全短处给出了安全建议。。。 。。

下面具体分享团队客户现场排查过程和溯源发现攻击者攻击手法,,,,,,可供各人参考、进建。。。 。。

(上图中左半部门为分析人员分析过程,,,,,,右半部门为溯源后分析的攻击者的攻击手法)

分析排查过程:

6月17日,,,,,,登陆多台机械进行排查发现,,,,,,系统中存在多个病毒文件无法直接删除,,,,,,并且会增长按时工作和守护过程,,,,,,保障病毒一向处于运行状态,,,,,,确认该病毒为SystemdMiner挖矿木马最新变种。。。 。。

6月18日,,,,,,排查发现大部门受习染的机械为Hadoop机械。。。 。。低版本的Hadoop存在未授权缝隙会导致远程号令执行缝隙。。。 。。

6月19日,,,,,,对病毒样本进行分析发现病毒传布方式进行分析,,,,,,经分析传布方式有以下几种方式:

 a) 利用consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令缝隙入侵主机。。。 。。

 b) 利用自动化运维工具(salt/ansible/chef-knife)横向传布。。。 。。

 c) 利用失陷主机本地保留的 SSH 密码、密钥传布自身。。。 。。

6月20日,,,,,,登陆多台受习染机械查看日志发现大量的机械存在爆破其他机械的痕迹、也发现大量的机械被爆破成功,,,,,,有登录成功日志。。。 。。在溯源中也发现一些机械存在弱口令的情况,,,,,,以及分歧的机械使用一样密码的情况。。。 。。

6月21日-6月23日沉点分析SSH的登录日志,,,,,,找到最早起头SSH爆破的机械并发现该机械上面装置了frp,,,,,,并在另表四台服务器中发现也被装置了frp,,,,,,攻击者使用Frp工具用来进行流量转发,,,,,,将内网的端口、流量转发到互联网上面。。。 。。

6月24日再次通过hadoop的未授权接见进行测试时,,,,,,已经成功复现缝隙,,,,,,并在分析有关日志中发现,,,,,,Hadoop的治理端口在6月23日批改成了28088。。。 。。


溯源攻击手法:

1)    攻击者利用客户现场已存在缝隙的碉堡机和官网服务器,,,,,,作为跳板机,,,,,,对IDC机房天玑服务器进行FRP反向代理工具反弹主机SHELL,,,,,,并获得主机节造权限。。。 。。

2)    攻击者利用已拿到的服务器权限,,,,,,上传SystemdMiner挖矿木马法式,,,,,,并配置打算工作,,,,,,按时衔接矿池域名,,,,,,挖矿法式自身拥有自动扫描与自传布职能,,,,,,同时发展内网的横向习染。。。 。。

3)    攻击者利用consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令缝隙入侵IDC机房其它主机操作系统。。。 。。

4)    攻击者利用自动化运维工具(salt/ansible/chef-knife)横向传布。。。 。。

5)    攻击者利用失陷主机本地保留的 SSH 密钥传布。。。 。。

在排查过程中,,,,,,应急幼组人员通过断根可疑打算工作,,,,,,实现守护过程,,,,,,删除木马创建的密钥认证文件和挖矿木马剧本法式,,,,,,建复缝隙等一系列操作对服务器、主机系统进行了全面消杀,,,,,,并且利用机房现有安全防护设备,,,,,,针对本次捉拿到的挖矿木马矿池恶意域名安全战术进行双向接见节造,,,,,,不容内网接见表网矿池域名,,,,,,不容表网矿池域名接见内网服务器IP地址,,,,,,为客户机房做了算帐和;;;;;;ち街执胧,,,并为客户提出以下安全建议:

1)    落实日常设备安全巡检工作。。。 。。

2)    加强安全运营监控力度,,,,,,针对告警事务分析研判与措置。。。 。。

3)    优化主机、网络安全设备安全战术。。。 。。

4)    如非必须不容内网服务器出表网。。。 。。

5)    服务器主机操作系统启用密码战术,,,,,,躲避设置弱口令与防备口令暴力破解。。。 。。

6)    将安全监测系统已检测到的矿池有关犯法域名,,,,,,通过安全防护设置将其参与黑名单列表,,,,,,并将安全战术设置为阻断接见。。。 。。

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】