I. الخلفية
في الآونة الأخيرة، وفريق الأمن تينسنت سحابة لمراقبة الوضع على الجزء الخارجي من السحابة وغزو ثغرة أمنية جهاز المستخدم، في حين التعدين الرقيب فيروس المزروع، المهام كرونتاب تظهر غير طبيعية، يتم حذف ملف نظام، وحدة المعالجة المركزية غير طبيعية، وسوف تلقائيا تصيب أكثر الجهاز. استخدام رديس المهاجم الوصول غير المصرح به الرئيسي لمحاولات الاقتحام الخادم وسجل لتصيب كما العديد من الأجهزة داخل الشبكة عن طريق المسح الضوئي وknown_hosts التاريخ.
مقارنة الفيروسات الماضية وجدت في التعدين، والتعدين فيروس أعلى مخفية، ولكن أيضا أكثر صعوبة لتنظيف. بعد خادم يؤثر بشكل خطير على مشاريع تجارية وتشغيل الفيروسات وحتى يؤدي إلى انهيار بن، خسائر لا داعي لها للمشروع.
الثاني، التحليل النصي
أولا وقبل كل شيء، يمكنك معرفة البنود مهمة غير عادية مباشرة من المهام كرونتاب:
مهمة كرونتاب لتحقيق من hxxps: //pastebin.com/raw/sByq0rym تحميل وتنفيذ شيل، شيل على ما يلي:
يتحقق البرنامج النصي من hxxps: //pastebin.com/raw/tqJjUD9d تحميل ملف، محتويات الملف بعد base64 في عملية ترميز.
فك base64 في كبرنامج نصي قذيفة، ومخطوطات قذيفة وظائف رئيسية هي كما يلي:
1. تعديل متغيرات البيئة، مضيفا الدلائل إلى مسار النظام الملف القابل للتنفيذ المشترك، تأكد من أن الأمر شيل أعدم عادة، في حين أن الكتابة مهمة كرونتاب مرة أخرى.
2. برامج النظيفة الأخرى الضارة، مثل "kworkerds"، "ايتهما" وبرامج التعدين الأخرى؛ مقفلة في نفس الوقت وملفات النظام ذات الصلة تنظيف chattr -i الأوامر.
3. نظام المعلومات المقابلة لتحميل تنفيذ برنامج ضار. المتسللين بشكل رئيسي من قبل برنامج ضار متنكرين صورة تحميل hxxp: //thyrsi.com الخريطة مواقع سرير، ومخطوطات قذيفة تحميل hxxp: //thyrsi.com/t6/672/15506675151822611209 .jpg وحفظها ك / تمة / الرقيب ملف، تنفيذ برنامج قابل للتنفيذ الخبيثة بعد إعطاء الإذن.
4. مزيد ومع العدوى على نطاق و، والتحقق من سه قسيمة المحلي، اجتياز IP ملف عنوان /root/.ssh/known_hosts، مع مصادقة SSH بطريقة الاتصال الافتراضي مفتاح عمومي، خبيث العدوى على نطاق والقيادة؛
5. وأخيرا تفريغ سجل النظام وغيرها من الوثائق، وتنظيف آثار الغزو.
بواسطة النصي باش يمكننا أن نرى أن ملف مفتاح فيها خبراء دوليون الملف.
وعلاوة على ذلك، لا عملية غير طبيعية من خلال النظام العلوي، في حين أن وحدة المعالجة المركزية معدل الخمول من 100، ولكن من الواضح أن يشعر الجهاز يعمل ببطء.
أكد كذلك من قبل vmstat، يمكن العثور عليها في أكثر من 95 استخدام وحدة المعالجة المركزية، ويمكن الاستدلال على وجود عمليات خفية، وربط الطرق الأخرى readdir ذات الصلة، تحليل حالة معينة قمنا به في المادة السابقة.
أبحاث الأمن | اخترق لينكس والتعدين هو عملية تحليل الحالات الخفية
مزيد من التحليل الرقيب الملف، فمن الواضح أن أفرج عن فيروس /usr/local/lib/libioset.so مكتبة الارتباط الحيوي ومسار الكتابة /etc/ld.so.preload لتحقيق عملية خفية، ونحن فوق ومن المفترض أن تكون متسقة. الجزء المرئي معين من تحليل عينة.
الثالث، وتحليل عينة
الرقيب عينة
ملامح رئيسية هي:
1. الحصول على معرف العملية الحالية، إرسال ملف /tmp/.lsdpid:
2. نسخ / تمة / الرقيب ل/ البيرة / دليل / الرقيب المسار والرقيب إضافة إلى عناصر بدء التشغيل والخدمات البنود:
ملف 3. الافراج عن libioset.so إلى /usr/local/lib/libioset.so، ويكتب مسار الملف بحيث /etc/ld.so.preload، /usr/local/lib/libioset.c الملفات المحذوفة:
4. الوصول ident.me الحصول على IP الجهاز:
5. تعيين مهمة توقيت، توقيت أداء اكتساب شيل من https://pastebin.com/raw/sByq0rym:
6. كتابة /tmp/ksoftirqds،/tmp/config.json، حذف بعد ksoftirqds التنفيذ:
7. حذف الوثائق التي:
8. الوصول https://pastebin.com/raw/C4ZhQFrH الاختيار للحصول على التحديثات:
libioset.so عينة
إجراء 64 بت، فإن عينة الافراج libioset.c ملف الخبيثة، وذلك باستخدام ملف التعليمات البرمجية المصدر جمعها ولدت في libioset.so الطريقة، برنامج 32 بت صدر مباشرة libioset.so الملف:
libioset.so ظيفتها الرئيسية هي ربط الحذف، الأوامر عرض نظام وغيرها من المهام، تصفية الرقيب وغيرها من المعلومات ذات الصلة، ليرة سورية رائدة، جمهورية مقدونيا وغيرها من البرامج الخبيثة في هذا الأمر غير صحيح، لذلك تبدو وظيفة تصدير ملف من هذا القبيل:
على سبيل المثال، وظيفة readdir64، libc.so.6 المحملة:
الحصول على عنوان وظيفة الأصلي:
إذا كنت استدعاء الدالة أو العملية ليست ksoftirqds الرقيب، ثم تصفية جميع النتائج تحتوي على برامج خبيثة ذات الصلة.
إلغاء ارتباط وظيفة مرشح بنفس الطريقة، مما يجعل من المستحيل لمسح البرامج الخبيثة LD_PRELOAD متصل، libioset.so وهلم جرا.
أيضا أن تكون وحدة المعالجة المركزية إخفاء معلومات البرنامج الخبيثة ومعلومات اتصال الشبكة، كما هو مبين أدناه:
عند استدعاء الدالة fopen فتح / بروك / القانون الأساسي، إرجاع معلومات مزورة:
عند الاتصال FOPEN لفتح / بروك / صافي / برنامج التعاون الفني أو / إجراءات / صافي / tcp6، نفس الترشيح:
رابعا، عملية الحد
على أساس السيناريو أعلاه وتحليل عينة يمكن العثور ELF الغزو الشامل وإصابة ما يقرب من العمليات:
1. رديس الوصول غير المصرح به إلى مآثر الجهاز وتعديل مهمة كرونتاب، أو نطاق من قبل عبور known_hosts تاريخ الاتصال في.
النصي 2.crontab باش لأداء هذه المهمة، المتعلقة تنظيف وتحميل البرامج الخبيثة الرقيب وحجم التنفيذ:
أ) الكتابة مهمة كرونتاب.
ب) تنظيف البرامج الخبيثة الأخرى.
ج) فتح حذف ملفات النظام المرتبطة بها؛
د) الرقيب تنفيذ التحميل؛
ه) المسح الأفقي الآلات الأخرى.
و) تنظيف الملفات وآثار ذات الصلة.
تنفيذ 3.watchdogs لكتابة التمهيد، دخول الخدمة وإطلاق دينامية مكتبة الارتباط الاختباء التنفيذ، في حين الافراج عن تنفيذ برنامج التعدين:
أ) الحصول على معرف عملية الكتابة /tmp/.lsdpid.
ب) نسخ الرقيب في / تمة الدليل / البيرة / دليل / دليل وإضافة عناصر بدء التشغيل وبنود الخدمات؛
ج) إطلاق سراح libioset.so والكتابة /etc/ld.so.preload عملية تحقيق وأخرى خفية.
د) الخروج من آلة وصول ident.me شبكة IP.
ه) الكتابة مرة أخرى مهمة كرونتاب.
و) ksoftirqds الإفراج التعدين البرنامج وتكوين الملفات config.json والتنفيذ.
ز) حذف الملفات المتعلقة جيل والاختيار للحصول على التحديثات.
أنجزت أخيرا التعدين يستغل لإجراء الزرع، في الوقت الذي يختبئ عملية والعدوى الأفقية.
بدلا من الماضي، قمنا بتحليل عملية التعدين الفيروس خفية، الفيروس الذي صدر في وظيفة صلة ديناميكية تزامن مكتبة إلغاء الربط التصفية، اسم مرشح يحتوي ld.so.preload وlibioset.so، بينما في نفس الوقت بسبب الحذف يتأثر الرأي وأوامر النظام الأخرى مرشح وظيفة أيضا بسبب تأثير، قاد libioset.so لا يمكن حذف أو بالطرق التقليدية لتعديل مباشرة المدمج في رفع ld.so.preload إخفاء عملية الخبيثة، يمكن أن يتحقق إلا حذف هذه الملفات عن طريق المقاصة من BUSYBOX .
بعد ونحن /usr/local/lib/libioset.so تنظيف الملف، يمكنك رؤية عملية التعدين التي يقوم بها الأمر العلوي:
مكاسب مشاهدة القراصنة التي استولت عليها عنوان محفظة:
إجمالي أرباح محفظة نحو 56.5 دولار لوه، أو حوالي 19000 يوان، وكان آخر 24 ساعة أرباح 1.3 لوه العملة، والذي يعتبر حاليا قوة قوامها نحو 430KH / S.
خامسا، الإصلاح المقترحة وأساليب التنظيف
الإصلاح المقترح
رديس الوصول غير المصرح به:
1. المصادقة رديس إضافة كلمة (رديس إعادة تشغيل سارية المفعول)؛
2. حظر الوصول إلى الشبكة الخارجية رديس (رديس إعادة تشغيل سارية المفعول)؛
3. امتيازات منخفضة لتشغيل خدمة رديس (رديس إعادة تشغيل سارية المفعول) انظر التعليمات التالية: HTTP: //bbs.qcloud.com/thread-30706-1-1.html.
عدوى الشبكة:
1. ينصح بعدم ربط الجهاز مباشرة على مفتاح خاص للملقم، إذا لزم الأمر، والتوصية لإضافة كلمة مرور.
2. يوصي نقاط انطلاق لتحقيق الوصول إلى أجهزة أخرى داخل الشبكة، لتجنب الربط العشوائي للجميع وآلات لا تنشر نقطة انطلاق محتملة الخدمات محفوفة بالمخاطر والأعمال التجارية ذات الصلة من خلال آلة محدودة.
طرق لتنظيف أحصنة طروادة التعدين
1. حذف مكتبة الارتباط الحيوي الخبيثة /usr/local/lib/libioset.so.
2. التحقيق ونظيفة-/ الخ / ld.so.preload سواء تحميل 1 الخبيثة مكتبة الارتباط الحيوي.
3. البنود غير طبيعية كرونتاب النظيفة، والمهام الخبيثة حذف (لا يتم إجراء التعديل الأول 5 أ).
عملية التعدين 4.kill.
قد تبقى الملفات الخبيثة التحقيق ونظيفة:
أ) chattr -i /usr/sbin/watchdogs/etc/init.d/watchdogs / فار / بكرة / كرون / الجذر /etc/cron.d/root.
ب) الرقيب chkconfig قبالة؛
ج) جمهورية مقدونيا -f /usr/sbin/watchdogs/etc/init.d/watchdogs.
6. قد تتم إزالة الأمر نظام فيروس المرتبطة بها، حزمة يمكن تثبيته من قبل مدير أو آلات نسخ أخرى الانتعاش.
7. بما أن للقراءة فقط ملف والأوامر هوك ذات الصلة، وتحتاج إلى تثبيت BUSYBOX حذفها من قبل قيادة جمهورية مقدونيا BUSYBOX.
8. وهناك جزء من الحاجة العملية إلى إعادة تشغيل الجهاز لتصبح نافذة المفعول.
VI الملحق
شركات النفط العالمية:
عينة
1.aee3a19beb22527a1e0feac76344894c
2.c79db2e3598b49157a8f91b789420fb6
3.d6a146161ec201f9b3f20fbfd528f901
4.39fa886dd1af5e5360f36afa42ff7b4e
حمامات الألغام عنوان
xmr.f2pool.com:13531
عنوان محفظة
46FtfupUcayUCqG7Xs7YHREgp4GW3CGvLN4aHiggaYd75WvHM74Tpg1FVEM8fFHFYDSabM3rPpNApEBY4Q4wcEMd3BM4Ava.teny
عناوين
1.hxxps: //pastebin.com/raw/sByq0rym
2.hxxps: //pastebin.com/raw/tqJjUD9d
3.hxxp: //thyrsi.com/t6/672/15506675151822611209.jpg
4.hxxp: //ident.me
* الكاتب: دينغ المختبر، وأعيد طبعه من FreeBuf.COM
