中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

一次Linux遭入侵,挖礦進程被隱藏案例分析

發布時間:2020-08-10 23:53:10 來源:ITPUB博客 閱讀:234 作者:dbasdk 欄目:網絡安全

本文轉載自“FreeBuf.COM ”,原文作者 :Fooying、zhenyiguo、murphyzhang
  
一、背景

  云鼎實驗室曾分析不少入侵挖礦案例,研究發現入侵挖礦行為都比較粗暴簡單,通過 top 等命令可以直接看到惡意進程,挖礦進程不會被刻意隱藏;而現在,我們發現黑客開始不斷使用一些隱藏手段去隱藏挖礦進程而使它獲得更久存活,今天分析的內容是我們過去一個月內捕獲的一起入侵挖礦事件。

  二、入侵分析

  本次捕獲案例的入侵流程與以往相比,沒有特殊的地方,也是利用通用漏洞入侵服務器并獲得相關權限,從而植入挖礦程序再進行隱藏。

  通過對幾個案例的分析,我們發現黑客主要是利用 Redis 未授權訪問問題進行入侵,對于該問題的說明可以參考我們過去做的一些分析:

  https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w

  在服務器被入侵后,首先可以明顯感覺到服務器的資源被占用而導致的操作遲緩等問題,通過一些常規手段可以發現一些異常信息,但又看不到進程信息:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  通過 top 命令,可以看到顯示的 CPU 使用率較低,但 ni 值為 100 ;同時通過 /proc/stat 計算 CPU 使用率又基本是 100% 。

一次Linux遭入侵,挖礦進程被隱藏案例分析

  通過 netstat 查看端口監聽情況,也可以看到異常的連接。

一次Linux遭入侵,挖礦進程被隱藏案例分析

  通過在 Virustotal 查詢 IP,可以看到 DNS 指向為礦池域名。

  通過 find 命令查找入侵時間范圍內變更的文件,對變更文件的排查,同時對相關文件進行分析,基本可以確認黑客使用的進程隱藏手法。

一次Linux遭入侵,挖礦進程被隱藏案例分析

一次Linux遭入侵,挖礦進程被隱藏案例分析

  在變更文件里可以看到一些挖礦程序,同時 /etc/ld.so.preload 文件的變更需要引起注意,這里涉及到 Linux 動態鏈接庫預加載機制,是一種常用的進程隱藏方法,而 top 等命令都是受這個機制影響的。

  在 Linux 操作系統的動態鏈接庫加載過程中,動態鏈接器會讀取 LD_PRELOAD 環境變量的值和默認配置文件 /etc/ld.so.preload 的文件內容,并將讀取到的動態鏈接庫進行預加載,即使程序不依賴這些動態鏈接庫,LD_PRELOAD 環境變量和 /etc/ld.so.preload 配置文件中指定的動態鏈接庫依然會被裝載,它們的優先級比 LD_LIBRARY_PATH 環境變量所定義的鏈接庫查找路徑的文件優先級要高,所以能夠提前于用戶調用的動態庫載入。

  ——段落引自《警惕利用 Linux 預加載型惡意動態鏈接庫的后門》

  通過查看文件內容,可以看到加載一個 .so 文件:/usr/local/lib/libjdk.so

一次Linux遭入侵,挖礦進程被隱藏案例分析

  而這個文件也在文件變更列表里。

  我們通過查看啟動的相關進程的 maps 信息,也可以看到相關預加載的內容:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  通過對 libjdk.so 的逆向分析,我們可以確認其主要功能就是過濾了挖礦進程,具體可見下文分析。

  在知道了黑客使用的隱藏手法后,直接編輯 /etc/ld.so.preload 文件去掉相關內容,然后再通過 top 命令即可看到挖礦進程:

一次Linux遭入侵,挖礦進程被隱藏案例分析

一次Linux遭入侵,挖礦進程被隱藏案例分析

  通過查看 /proc/ 下進程信息可以找到位置,看到相關文件,直接進行清理即可:

一次Linux遭入侵,挖礦進程被隱藏案例分析

一次Linux遭入侵,挖礦進程被隱藏案例分析

  繼續分析變更的文件,還能看到相關文件也被變更 ,比如黑客通過修改 /etc/rc.d/init.d/network 文件來進行啟動:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  同時修改 /etc/resolv.conf :

一次Linux遭入侵,挖礦進程被隱藏案例分析

  還修改了 HOSTS 文件,猜測是屏蔽其他挖礦程序和黑客入侵:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  同時增加了防火墻規則:

  查詢 IP 可以看到是一個國外 IP :

一次Linux遭入侵,挖礦進程被隱藏案例分析

  三、樣本分析

  通過對樣本逆向分析,發現樣本 libjdk.so 主要是 Hook 了 readdir 和 readdir64 兩個函數:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  對應修改后的 readdir 函數結構如下(readdir64 函數也是類似的):

一次Linux遭入侵,挖礦進程被隱藏案例分析

  get_dir_name 函數結構:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  get_proces_name 函數結構:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  process_to_filter 常量定義如下:

一次Linux遭入侵,挖礦進程被隱藏案例分析

  整個函數功能結合來看就是判斷如果讀取目錄為 /proc,那么遍歷的過程中如果進程名為 x7,則過濾,而 x7 就是挖礦進程名。

  而類似于 top、ps 等命令在顯示進程列表的時候就是調用的 readdir 方法遍歷 /proc 目錄,于是挖礦進程 x7 就被過濾而沒有出現在進程列表里。

  四、附錄

  IOCs:

  樣本

  1. 4000dc2d00cb1d74a1666a2add2d9502

  2. 8bd15b2d48a051d6b39d4c1ffaa25026

  3. e2a72c601ad1df9475e75720ed1cf6bf

  4. d6cee2c684ff49f7cc9d0a0162b67a8d

  礦池地址

  1. xmr-asia1.nanopool.org:14433

  2. 123.56.154.87:14444

  錢包地址

42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

莱州市| 溧水县| 福海县| 平武县| 屏山县| 宜都市| 沂南县| 托克托县| 普兰店市| 普安县| 交口县| 吉木萨尔县| 石台县| 师宗县| 高青县| 房山区| 上饶县| 县级市| 宁波市| 安陆市| 罗平县| 定日县| 沙田区| 渭南市| 邮箱| 山丹县| 弥勒县| 桃园市| 祁连县| 宽甸| 兴义市| 江安县| 宝应县| 阿鲁科尔沁旗| 新余市| 安泽县| 广南县| 上饶市| 阿图什市| 黄陵县| 建德市|