捕獲一起惡意入侵事件的攻擊溯源
0×0 背景
近日,深信服安全團隊接到客戶本地的安全感知報警,提示有惡意的CC訪問連線報警,訪問惡意域名down.mys2018.xyz達到了1057次、訪問my2018.zxy達到了490次主機直接被標記為了已失陷,經過較多的防毒軟體查殺均未查殺出異常,後續經過相關的排查發現伺服器存在較大的安全隱患,與Myking團伙有較大的關聯。
0×1 總體情況
多方面的分析發現,客戶本地存在較多的惡意指令碼與病毒檔案根據現象情況梳理與日誌分析、結合對一些程序記憶體的分析等多方面檢測定義為多次惡意入侵的安全事件。
0×2 程序檢查
程序當中發現了大量惡意的wscript.exe的程序數量約為30多個呼叫,均為 最高許可權 通過系統命令呼叫引數檔案為C:\users\public\documents\1.vbs的執行指令碼,且該程序的父程序為本地執行sqlserver.exe資料庫程序。
開啟1.vbs的內容進行程式碼分析發現此指令碼是通過呼叫本地的wscript.exe 從網際網路上下載惡意的挖礦元件進行虛擬挖礦的程式。
核心程式碼如下:
url路徑為: ofollow,noindex" target="_blank">http://q.112adfdae.tk/&wenjian ;
powered.exe為挖礦的主要程序,config.json為挖礦的配置檔案;之前有分析過類似的檔案這裡不多做介紹。
0×3 開機啟動項
通過對開機啟動專案的檢查也通用發現了一個叫fuckyoumm2_consumerde的WMI專案:
啟動內容如下主要是從 http://down.mys2018.xyz:280/psa.jpg 下載內容並儲存為指定路徑下C:\windows\ps.exe並執行:
在登錄檔裡面的開機啟動專案發現了一個clean.vbs的異常專案:
通過對內容的分析發現此為一個針對redis入侵的一個payload:
通過對登錄檔的檢查一個詭異的bat檔案出現在眼前,路徑為:
C:\windows\system32\wbem\123.bat
主要內容如下主要功能也是從遠端下載樣本回來並執行:
0×4 攻擊溯源
通過對sqlserver的檢查發現該資料庫一直遭受到來自網際網路的暴力破解攻擊主要使用者為sa且xp_shell功能已經處於開啟狀態,由於日誌不全面暫時無法確認是具體時間點開啟。
同時在web系統的目錄下面發現了一個多功能的大馬webshell為sqzr.jsp上傳時間為2018年6月6日。
在redis的目錄下面也發現黑客上傳的SSH登入的Key,這個操作可以說很6了畢竟這是windows系統。
通過對本地的埠開放情況進行檢查發現redis的程序一直保持著較多的通訊,同時檢查了配置檔案發現未開啟授權訪問。
0×5 清理
1.刪除系統目錄下的1.vbs 123.bat clean.vbs等惡意指令碼;
2.刪除web系統目錄下的helloworld.jar 與helloworld目錄的webshell後門;
3.刪除黑客上傳的root檔案;
4.刪除fuckyoumm2_consumerde、clean.vbs、123.bat的開機啟動項。
0×6 加固與建議
1.新增redis的訪問密碼、同時設定redis的訪問控制;
2.修復Openfire的安全漏洞升級到最新版本或者更新補丁包;
3.新增sqlserver的安全加固設定強密碼策略與訪問控制策略,關閉危險的xp_shell的命令執行功能;
4.深信服EDR產品、下一代防火牆等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測。其中EDR產品,採用深信服SAVE智慧安全檢測引擎,通過人工智慧自主學習自動識別未知威脅,無需任何升級即可自主檢測查殺病毒最新變種。
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM