国外vps对比免费国外主机


在一个恬静的午后,微步情报局捕获一起僵尸网络攻击活动。此次攻击始于微步在线主机威胁检测与响应平台OneEDR(下文简称OneEDR)监测到xmirg的木马进程告警信息,微步情报局的安全研究员第一时间针对此项告警展开详细技术分析。

根据文件名称,研究人员将本次涉事恶意木马判定为与挖矿相关的木马。该木马使用了SHC加密来躲避安全软件的检测。SHC是一个可以把shell脚本混淆加密打包成二进制文件的工具,该静态文件查看二进制文件中几乎没有看见shell脚本的特征。根据本次攻击事件可以发现,目前有不少黑客通过第三方工具对木马加密,从而躲过安全软件的检测。

点击其中一种可疑告警信息查看详情,发现主机从.nosdir.me下载了一个压缩包文件mint_xmr.tar.gz。

继续往下查看告警信息,OneEDR告警信息为UPX的后门文件,这里直接可以看出文件的位置以及隐藏的文件路径。

OneEDR告警提示主机在非登录状态下有修改密码的操作,将用户CentOS原有的密码“”修改为“XIq8I4rj5m1YOLZv”。

接着,查看日志发现,木马会对可疑下载的压缩包mint_xmr.tar.gz进行自动解压,给start、test、updat3、xmrig文件赋予执行权限。木马只执行了start(母体)文件,其余的子文件由start文件调用执行。

查看受害机的计划任务,发现有3个可疑的计划任务:第一个是每天00:00执行样本/var/tmp/.mint-xmr/start;第二个是每当重启就执行样本/var/tmp/.mint-xmr/updat3;第三个是每个月第一天的00:00执行/var/tmp/.mint-xmr/updat3样本。

登录受害主机查看CentOS用户日志文件,发现存在大量爆破登录SSH的行为。日志文件还记录了10月10日17:12成功登录CentOS账户的信息,登录时间与OneEDR告警信息的木马下载的时间相近,且都是CentOS账户。

根据OneEDR检测到的路径,在隐藏文件夹/var/tmp/.mint-xmr/下查看所有文件:

查看受害机的定时任务,发现存在3个定时任务:分别是每天00:00执行/var/tmp/.mint-xmr/start;每次重启以及每个月的第一天的00:00执行/var/tmp/.mint-xmr/updat3,并以后台运行的方式运行并对其输出进行重定向。

根据OneEDR上面告警信息提示,受害主机首先运行了start(986afc16d01d2c5cdca),所以先对其进行分析。

根据分析到的提示信息“hasexpired! pleasecontactyourproviderjahidulhamid@”可以关联出,这个样本是一个经过加密编译的shell脚本(工具/neurobin/shc)。

接着会调用updat3,利用#cat/var/tmp/.logs/.xmr命令定位到放马的文件夹,通过判定当前用户的id是否为

0,解锁文件夹/root/.ssh里面的所有东西,紧接着就是写入黑客的SSH密钥,赋予authorized_keys600权限,写入3个定时任务,删掉挖矿配置文件config.json,杀掉原有的挖矿进程(根据这里也可以判定这是一个shell脚本)。

紧接着分析test文件,发现它会调用同目录下的xmrig文件开始挖矿。xmrig是一个挖矿木马,需要特定的钱包地址才可以启动,那么便可以推断出test主要功能就是通过指定钱包地址启动xmrig进行挖矿。

then./:443-u86YdB5PXqUfLZXjDHniAv6DoFbZQXX55G9ixQJbz1t6wbttmqsKkfQNXMsg8uxz5jR6KL5EF9RRbZTxAd6PUc1g5Qkjpeeg-k--tls-px

这里利用上面提到的SHC混淆加密编译工具,简单测试一段输出“helloword”的代码,判断是否与木马文件采用的混淆加密编译手法类似。

研究人员在分析这个样本时,并没有发现木马本身具有密码爆破功能。当成功登录受害主机后就会下载木马,同时黑客也是“出于好心”随手帮你修改了密码。在面对这种加密的shell可以用unshc、gdb工具以及strace、ps-ef等命令进行分析。

这里以gdb工具为例对start进行分析,先用gdb载入start下好断点,利用命令grepheap/proc/pid/maps查看木马进程的虚拟空间布局,接着把相关数据dump下来。

本次事件是在OneEDR在收集终端的进程、网络、文件等系统行为发现的,OneEDR是一款专注于主机入侵检测的新型终端防护平台,通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段,实现对主机入侵的精准发现,发现已知与未知的威胁。