快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

挖矿僵尸收集现形记,已感染最少2万台服务器

*

1、情形概述

离心力安全团队通过流量监控设备发现某台服务器被入侵,服务器存在恶意文件,始终在向外要求数据包。

二、初步阐发

(一)漏洞检测

通过用户提供的IP地址,在机房发现是一台山石的防火墙设备,上岸治理页面后发现设备下所属网段为172.16.1.0/24,通过查看设置文件,发现网站对应的服务器为172.16.1.100,扫描后发现172.16.1.100服务器开启了445,使用漏洞检测工具发现服务器存在永恒之蓝(ms17-010)遥程代码执行漏洞,嫌疑是此台服务器被攻击。

挖矿僵尸收集现形记,已感染最少2万台服务器

(二)阐发过程

上岸服务器后发现Windows体系更新未开启,通过查看进程发现存在恶意进程,根据名字以及进程参数判定为挖矿软件,运行后cpu资源会占用50%。

挖矿僵尸收集现形记,已感染最少2万台服务器

根据进程程序路径发现是有多个恶意挖矿软件运行在服务器上,并可以发现矿池地址为b1.crsky.org:444,根据进程路径,发现多个挖矿软件存在于c盘目录当中。

C:\ProgramData\a2-64ss.exe

C:\ProgramData\new\

C:\ProgramData\data\

C:\ProgramData\Smart\ 

从C:\ProgramData\Smart\文件夹中中发现有个bat写入了服务(Smart Card Report)并修改了目录的权限

挖矿僵尸收集现形记,已感染最少2万台服务器

并对服务比对校验发现存在异常服务

服务名称为:

dqqwtw Microsoft .NET Framework TPM 已启动 自动 内陆体系
kwxcue Microsoft .NET Framework TPM 已启动 自动 内陆体系
mburxc Microsoft .NET Framework TPM 已启动 自动 内陆体系
Smart Card Removal Policy   已启动 自动  

而从体系日记中可以看到服务的装置时间最早的为2018年1月22日,其他服务最晚是在9号装置实现。

挖矿僵尸收集现形记,已感染最少2万台服务器

根据服务启动进程以及加载的dll发现更多恶意文件,并在体系HOSTS文件中,发现多个矿池地址,最后修改日期为4月3日。

挖矿僵尸收集现形记,已感染最少2万台服务器

使用杀毒软件对通盘进行了扫描,共发现病毒文件将近20个左右

发现Content.IE5一个文件夹中存在很多暂且文件,内里发现挖矿装置软件,日期大概也是2018年1月22日

挖矿僵尸收集现形记,已感染最少2万台服务器

通过查看收集连接发现多个可疑ip地址,和对内网部分ip的连接

TCP 172.16.1.100:49220 112.90.77.177:80 CLOSE_WAIT 2664
TCP 172.16.1.100:49268 192.168.7.10:8001 SYN_SENT 1272
TCP 172.16.1.100:49269 116.113.111.54:8888 SYN_SENT 1164
TCP 172.16.1.100:49270 192.168.7.199:8001 SYN_SENT 1292

116.113.111.54   回属地为:内蒙古自治区呼以及浩特市 联通

挖矿僵尸收集现形记,已感染最少2万台服务器

并根据收集威胁阐发,发现以及一个HFS挖矿的样本阐发IP以及端口相同,判定此ip为黑客c2控制端,首要作用为控制全部僵尸收集。

域名 a1.crsky.org
域名 a2.crsky.org
域名 crsky.org
ip 112.25.141.103
ip 116.113.111.54

通过对域名的whois查询发现注册人信息及联系电话,查询回属地为江苏 苏州  中国联通。

挖矿僵尸收集现形记,已感染最少2万台服务器

通过对域名阐发并找到了多个HFS收集文件服务器,http://dh.crsky.org:5566/,在文件服务器中可以发现此次的病毒样本。

挖矿僵尸收集现形记,已感染最少2万台服务器

112.90.77.177  回属地为:广东省深圳市 联通,发现此ip开放了80端口。

挖矿僵尸收集现形记,已感染最少2万台服务器

嫌疑此服务器为僵尸收集的更新地址及恶意文件下载服务器地址。

接下来我们阐发下体系的日记,通过体系安整日记记录发现 一个ASP.NET用户在2018/1/3号晚上八点半左右对体系日记进行了清理。

挖矿僵尸收集现形记,已感染最少2万台服务器

因通过工具没有抓到ASP.NET暗码,所以直接通过修改ASP.NET暗码上岸此用户,通过信息网络发现此用户创建时期是2018年1月3日18:42分

并在其遥程桌面发现有连接一台Windows2003服务器的IP记录

挖矿僵尸收集现形记,已感染最少2万台服务器

经查询59.207.41.34回属地为北京市,上岸用户为asp.net(清除后门后第二天此服务器关机)

从文件关上记录发现有一个ip.txt,路径为c:/users/ASP.net/Desktop,然则已经被删除,只能猜测是黑客拿此机器作为跳板,针对ip.txt进行内网或者外网攻击。

因为体系的日记被情形,网络黑客,导致没法判定黑客从内部攻击照样网站入侵攻击,通过对网站扫描以及目录的后门扫描,并无发现异常,因地点机房内网可互通,而内网其他单位机器也感染了此次挖矿病毒,嫌疑是从内网通过永恒之蓝漏洞进行入侵攻击的。

(三)入侵过程梳理

经过对全部事故的阐发,大概梳理了整件事情的大概流程,判定这是一个长期运营的僵尸收集,其目的主若是为了挖取门罗币(XMR,Monero CryptoCurrency),阐发过程以下:

(1)黑客内网通过SMB漏洞进入体系,在2018年1月3号18点确立用户ASP.NET,通过遥程桌面连接到服务器上,上传了ip.txt等恶意文件文件,并在20点清理了体系日记,注销登出;

(2)1月22号写入服务mburxc,dqqwtw;主动连接入侵者C2服务器8888端口,接受指令;

(3)4月3号装置了挖矿服务(Smart Card RemovalPolicy),并上传a2-64ss等挖矿程序;

(4)4月9号写入服务kwxcue;

3、病毒阐发

(一)病毒概述

该病毒会向目标主机开释文件以达到挖矿的目的。

(二)病毒举动描摹

(1)该病毒主程序会将自身EXE中的一部分解密后向本机暂且目录开释一个病毒文件,下图是该程序的首要功能:

挖矿僵尸收集现形记,已感染最少2万台服务器

挖矿僵尸收集现形记,已感染最少2万台服务器

病毒要开释文件的路径

挖矿僵尸收集现形记,已感染最少2万台服务器

挖矿僵尸收集现形记,已感染最少2万台服务器

挖矿僵尸收集现形记,已感染最少2万台服务器 

(2)在暂且目录开释病毒成功后以传递参数的情势启动该病毒程序。

挖矿僵尸收集现形记,已感染最少2万台服务器

其中传递的参数为:__IRAOFF:520716″__IRAFN:C:\Documents and Settings\Administrator\桌面\123\a2-64ss.exe”

挖矿僵尸收集现形记,已感染最少2万台服务器

(3)新创建的进程会开释真实的挖矿程序,在C:\ProgramData\Smart目录下创建名为cmd.bat、csrss.exe、run64或run32(下边以Run代表这两个文件)、svchost.exe、host等病毒文件。

挖矿僵尸收集现形记,已感染最少2万台服务器

通过流量阐发可以发现csrss.exe始终在对外b1.crsky.org:444传送数据包。经过阐发数据包内容为挖矿程序以及矿池交互数据。

挖矿僵尸收集现形记,已感染最少2万台服务器

挖矿僵尸收集现形记,已感染最少2万台服务器

(4)其中Run程序会在C:\Program Files\Co妹妹on Files\Microsoft Shared目录下开释出一个dqqwtw.dll的文件(名称可能会不同),并会创建一个以及DLL名称相同的服务并启动它。

挖矿僵尸收集现形记,已感染最少2万台服务器

(5)    Run程序会在注册表自启动项中创建一个名鸣ATI的键值,以便开机自启动。

挖矿僵尸收集现形记,已感染最少2万台服务器

挖矿僵尸收集现形记,已感染最少2万台服务器

(6)病毒程序会启动SvcHost.exe进程以及1-2个rundll32.exe进程, 并将dqqwtw.dll注入到这些进程中, 这个DLL文件是个后门程序,启动后会以及IP为211.93.137.83(pc.crsky.org)的8888端口进行连接(IP地址以及端口号可能发生改变)。

(7)该病毒还有一些别的功能,譬如自删除、后台更新等。

(三)病毒清除要领

1.  休止病毒创建的服务;

2.  在义务治理器中结束所有rundll32.exe进程以及一个走访了8888端口的 Svchost.exe进程;

3.  删除注册表项;

4. 依据上述,删除所有病毒生成的文件。

4、整改建议

病毒清除及服务器加固

目前已对服务器上发现的所有恶意文件清理,并删除了恶意的服务。在服务器上装置了杀毒软件进行防护;windows防火墙开启并配置了对445,139端口的阻止策略,开启Windows更新服务,准时重启更新;删除黑客所留的用户,并将服务器暗码更改成随机暗码。

*

您可能还会对下面的文章感兴趣: