一、概述

本週騰訊安全服務中心接到客戶求助,客戶部署的騰訊御界高級威脅檢測系統發現SSH服務失陷感知信息,該公司安全管理人員及時聯絡騰訊安全專家協助分析威脅來源。

騰訊安全工程師在徵得客戶同意後對客戶機器進行遠程取證,客戶機部署在客戶的私有云上,結合御界的關鍵日誌,我們發現這是一起針對SSH服務器弱口令爆破攻擊事件,由於發現及時,工程師及時協助客戶進行隔離及殺毒,並未造成損失。

根據這一線索,騰訊安全御見威脅情報中心展開事件調查,結果發現,這是一起專業黑客組織發起的攻擊事件:攻擊者利用SSH弱口令爆破成功後會植入SSH後門以及IRCbot後門程序,並通過SSH弱口令在內網橫向傳播,受害機器接收遠程指令安裝(包括但不限於)挖礦、DDoS攻擊模塊。

該黑客組織使用的基礎設施分佈於多個國家,包括俄羅斯、美國、法國、羅馬尼亞、荷蘭、新加坡等,該組織的攻擊目標同樣遍佈世界各地,潛在的攻擊目標每天約十萬個IP的量級。該組織控制的一個門羅幣錢包已挖到近200個門羅幣,市值約12萬元人民幣。

二、詳細分析

根據騰訊御界日誌記錄,該黑客團伙在對目標SSH服務器進行多達4千次連接嘗試,最終爆破弱密碼成功。

由於受害SSH服務器使用了較弱的密碼,在17點23分,黑客爆破成功

我們從受害機器提取了兩個病毒文件/dev/shm/.satan及/dev/shm/rp,經分析

.satan 下載54.37.70.249/ps並執行,ps是一款ssh服務端,程序啓動後會監控本機22端口,修改SSH授權,允許黑客遠程免密登錄,需要在受害機器上存儲黑客公匙。

添加成功後把本機信息發送到黑客服務器,共內置三個服務器地址。

zergbase.mooo.com 
5.255.86.129 (荷蘭)
mage.ignorelist.com (美國) 

rp是一段加密的perl代碼

解密後可以看到是perl版的ircbot後門

C&C:146.185.171.227(荷蘭)

後門功能包括flood攻擊以及雲執行代碼。

經分析發現,黑客目前會下發挖礦的shell程序,shell首先下載54.37.70.249/dota.tar.gz (該IP位於法國)

解壓後dota目錄結構

執行dota/.rsync/initall,Install做一些清理準備工作後,執行init功能

Init中清理自身挖礦進程,並設置啓動項

dota/.rsync/a目錄結構

接着執行dota/.rsync/a/a,a腳本執行init0,init0是專門結束競品的shell程序

挖礦程序啓動後會結束大部分挖礦軟件的進程,並刪除其他挖礦軟件相關文件,獨佔資源。

繼續執行anacron,anacron是基於xmrig2.14修改的linux平臺挖礦木馬

礦池:

5.255.86.129:80 (荷蘭)

107.191.99.221:80(monerohash.com,美國)

workforce.ignorelist.com

目前該錢包已經挖到195XMR,按20190605均價來算,市值約12萬人民幣

執行dota/.rsync/b/a,b/a最終執行ps,ps是上面講的ssh後門服務端,方便黑客遠程免密ssh登錄。

接着執行c目錄的start,聯網下載要爆破的服務器地址,端口,以及一些字典

三個服務器輪詢下載:

46.101.113.206(俄羅斯)

141.85.241.113(羅馬尼亞)

sez.strangled.net (美國)

三個服務器上,路徑/a/ xtr存放的是字典服務器地址,當前爲202.136.170.27(新加坡),這個地址每隔幾天都會更新。

202.136.170.27/a/a存放的是將要爆破的服務器地址和端口,目前列表中被攻擊的IP超過3萬個,爆破成功的,或爆破不成功的IP均會從列表中刪除,被攻擊的目標IP仍在不斷更換和增加中。我們推測,每天潛在的攻擊IP約爲十萬量級。

202.136.170.27/a/b存放的是弱口令字典

執行目錄下的tsm傳入要爆破的IP和字典

爆破成功後遠程執行shell腳本

下載執行54.37.70.249/rp以及54.37.70.249/.satan (54.37.70.249位於法國),在新受害機器上重複以上動作。

三、安全建議

本次事件由於發現及時,部署騰訊御界高級威脅檢測系統的客戶並未遭遇損失,但溯源發現每天約十萬臺SSH服務器被列入攻擊目標。騰訊安全專家建議企業用戶高度警惕,採取以下措施防止企業SSH服務器被該團伙入侵控制。

1、 用密鑰登錄,不要用密碼登錄

2、使用安全的密碼策略,使用高強度密碼,切勿使用弱口令,防止黑客暴力破解

3、開SSH只監聽本地內網IP

4、儘量不給服務器外網IP

5、推薦部署騰訊御界高級威脅檢測系統。御界高級威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊安全在雲和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。

企業管理員也可手動清除該病毒:

刪除以下文件&目錄:

/dev/shm/.satan

/dev/shm/rp

/tmp/.X13-unix

/tmp/dota

刪除啓動項:

/tmp/data/.rsync/a/upd

/tmp/data/.rsync/b/sync

IOCs

Domain 

zergbase.mooo.com
sez.strangled.net
mage.ignorelist.com
workforce.ignorelist.com

IP 

46.101.113.206
141.85.241.113
202.136.170.27
103.248.211.198
54.37.70.249
5.255.86.129
146.185.171.227

URLs 

http[:]//554.37.70.249/rp
http[:]//554.37.70.249/dota.tar.gz
http[:]//554.37.70.249/ps
http[:]//54.37.70.249/anacron
http[:]//54.37.70.249/cron
http[:]//54.37.70.249/dota2.tar.gz
http[:]//54.37.70.249/p1
http[:]//54.37.70.249/rsync
http[:]//54.37.70.249/sslm.tar.gz
http[:]//54.37.70.249/.x15cache
http[:]//54.37.70.249/tddwrt7s.sh
http[:]//54.37.70.249/lan.sh
http[:]//54.37.70.249/.satan
http[:]//54.37.70.249/minloc.sh
http[:]//202.136.170.27/a/b
http[:]//202.136.170.27/a/a 
http[:]//46.101.113.206/a/xtr
http[:]//141.85.241.113/a/xtr
http[:]//sez.strangled.net/a/xtr
http[:]//zergbase.mooo.com/dota.tar.gz
http[:]//zergbase.mooo.com/hello
http[:]//zergbase.mooo.com/t
http[:]//5.255.86.129/sslm.tar.gz
http[:]//5.255.86.129/dota.tar.gz
http[:]//5.255.86.129/lan.sh
http[:]//5.255.86.129/ml.tar.gz
http[:]//5.255.86.129/hubble.tar.gz
http[:]//5.255.86.129/minloc.sh

錢包 

45UcbvLNayefqNad3tGpHKPzviQUYHF1mCapMhgRuiiAJPYX4KyRCVg9veTmckPN7bDebx51LCuDQYyhFgVbUMhc4qY14CQ

*本文作者:騰訊電腦管家,轉載請註明來自FreeBuf.COM

相關文章