1.マイナーマイニングトロイの木馬の概要
最近、Antiy CERT は、風をキャッチするハニーポット システム [1] を通じてアクティブなマイニング トロイの木馬サンプルのバッチをキャプチャしました。このシステムは主に SSH と Redis の弱いパスワード ブルート フォースを使用して Linux プラットフォームを攻撃します。最初のスクリプトでダウンロードされたマイニング ファイルの名前は「aminer.gz」であるため、Antiy CERT はこのマイニング トロイの木馬を「aminer」と名付けました。
表1-1 マイナーマイニングの概要
Antiy Intelligent Endpoint Protection System (略して IEP )の Linux バージョンが マイニング トロイの木馬を効果的に検出し、駆除できることが確認されています。
2サンプル機能とテクニカルコーミング
マイナー マイニング トロイの木馬の最初の攻撃スクリプトは、実際には、指定された DNS サーバー アドレスへの書き込み、yum パッケージ マネージャーを使用した一連のツールとライブラリのインストール、インストールのダウンロードなどの一連の命令で構成されています。メモリ内での実行、ファイルのダウンロードminer.gz ファイルを解凍し、開始スクリプトを実行してマイニングします。
install.tgz ファイルには、top など、システム ファイルと同じ名前の悪意のあるファイルが多数含まれています。これらのファイルはインストール スクリプトによって呼び出され、その主な機能には、SSH 公開キーの追加、top、netstat、crontab などのシステム ファイルの置換、バックドアの作成のための irc クライアントの実行、ポート番号 20 および 43 によるネットワーク接続のフィルタリングが含まれます。 、など。
ns2.jpg は、実際には ShellBot 機能を実現するために使用される Perl 言語で書かれたスクリプト ファイルです。実行後、irc サーバーに接続します。ポート番号は 20 です。miner.gz 圧縮パッケージには、2 つのオペレーティング システム アーキテクチャ用のマイニング プログラムが含まれています。開始スクリプトが実行されると、現在の被害者のオペレーティング システム アーキテクチャに従ってどのマイニング プログラムを使用するかを決定し、永続化するためのサービスを作成し、最後にマイニングを実行します。プログラム マイニングを行います。
2.1oto (初期攻撃スクリプト)
サンプルの初期攻撃スクリプトの全体的なプロセスとコア テクノロジーは次のとおりです。 1. 「114.114.114」、「114.114.115.115」、「8.8.8.8」、「1.1.1.1」などの DNS サーバー アドレスを書き込みます。2. gcc、cmake、wget、curl、nano などの一連のツールとライブラリをインストールします。3. メモリ上で jpg を実行します. ファイルは実際にはスクリプト ファイルです. Perl 言語で書かれた ShellBot は実行後、irc サーバー (irc.tung-shu.cf) に接続します. ポート番号は 20、チャネルは #ROOT です。4. 起動スクリプトを使用して、マイニング用のマイニング プログラムを実行します。マイニング プールのアドレスは xiao.my.id:3389 です。
2.2install.tgz (永続化)
install.tgz 圧縮パッケージには多くのファイルが含まれており、各ファイルの機能を次の表に示します。
表 2-1 install.tgz の各ファイルの機能
3 マイニングトロイの木馬上陸調査・駆除計画
3.1 上陸型トロイの木馬の認識
3.2 クリアランス制度
4保護に関する提案
マイニング攻撃に対して、Antiy は企業に次の保護措置を講じることを推奨しています: 1. 端末保護をインストールする: ウイルス対策ソフトウェアをインストールし、さまざまなプラットフォーム用に Antiy Smart Terminal Defense System Windows/Linux バージョンをインストールすることをお勧めします; 2. SSH パスワードを強化します。強度: 弱いパスワードの使用を避け、大文字と小文字、数字と記号の組み合わせを含む 16 桁以上のパスワードを使用し、複数のサーバーで同じパスワードを使用することを避けることをお勧めします。 3. 適時にパッチを更新します。システム パッチをインストールするには自動更新機能を有効にすることが推奨され、サーバーはシステム パッチを適時に更新する必要があります。 4. サードパーティ アプリケーション パッチを適時に更新する: Redis などのサードパーティ アプリケーションのアプリケーション パッチを適時に更新することが推奨されます。 5. ログの有効化: 主要なログ収集機能 (セキュリティ ログ、システム ログ、エラー ログ、アクセス ログ、送信ログ、Cookie ログ) を有効にして、セキュリティ イベントのソースを追跡するための基礎を提供します; 6. ホストの強化: 侵入テストを実施します。システムのセキュリティ強化 7. 侵入検知システム (IDS) の導入: トラフィック監視ソフトウェアまたは機器を導入すると、悪意のあるコードのソースを発見して追跡するのに便利です。Antiy 脅威検出システム (PTD) は、ネットワーク トラフィックを検出と分析の対象としており、多数の既知の悪意のあるコードやネットワーク攻撃活動を正確に検出し、疑わしいネットワークの動作、資産、およびさまざまな未知の脅威を効果的に検出できます。サービス : 悪意のあるソフトウェアによって攻撃された場合は、攻撃されたホストを時間内に隔離し、セキュリティ エンジニアがコンピュータをチェックするまでサイトを保護することをお勧めします。Antiy 7*24 時間サービス ホットライン: 400-840-9234。
Antiy Intelligent Endpoint Defense System (略して IEP ) がマイニング トロイの木馬を効果的に検出し、駆除できることが確認されています。
図 4‑1 Antiy Smart Arm はマイニング トロイの木馬を効果的に検出して駆除できる
5つのイベントに対応したATT&CKマッピングマップ
攻撃者がマイニング トロイの木馬を起動する完全なプロセスについて、Antiy は、次の図に示すように、この攻撃イベントに対応する ATT&CK マッピング マップを整理しました。
図 5-1 イベントに対応する ATT&CK マッピングマップ
攻撃者が使用する技術的なポイントを次の表に示します。
表 5-1 イベントに対応する ATT&CK 技術動作説明表
6IoC
参考資料* Antiy Product Tour (シリーズ 5) - Catch the Wind ハニーポット システム
https://www.antiy.cn/About/news/20200312.html
Antiy 製品ツアー (シリーズ 5) - Catch the Wind ハニーポット システム
https://www.antiy.cn/About/news/20200312.html
ネットワーク セキュリティ エンジニアのエンタープライズ レベルの学習ルート
このとき、もちろん体系的な学習ルートが必要です。
画像が大きすぎてプラットフォームによって圧縮されている場合は、記事の最後でダウンロード(無料)でき、一緒に学び、コミュニケーションすることもできます。
サイバーセキュリティに関する私の独習入門書のコレクションの一部
無料で入手したいくつかの優れたビデオチュートリアル:
上記の情報は【下のカードをクリック】で受け取れます、シェアも無料です