一、概述

2022年3月底,我安服团队在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。

二、检测定位阶段工作说明

2.1、异常现象确认

服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。

2.2、溯源分析过程 

通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。

三、抑制阶段工作说明

临时配置防火墙禁止101.2.210访问其他区域服务器22端口;

修改服务器10.101.2.210弱密码为强口令;

四、根除阶段工作说明

1.进程分析:ps -ef 查看运行进程,发现大量sshd命令

1647963295_6239ec9fa97813f88b84f.png!small?1647963296164

2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件

1647963343_6239eccf6fae4810d8227.png!small?1647963343512

3.进入到指定文件夹目录下

1647963374_6239ecee7837b817faa79.png!small?1647963374909

4.拷贝下来进行病毒分析

1647963494_6239ed668875b46d66c2f.png!small?1647963494666

上传微步沙箱分析

1647963514_6239ed7aa237a2a0ddee5.png!small?1647963514745

5.进行目录文件解剖(存在爆破IP和账号密码信息)

1647963536_6239ed9089deceb4f4deb.png!small?1647963536590

1647963541_6239ed95c8bcf1e536cd8.png!small?1647963541986

6.登录安全:ssh免密登录排查

1647963561_6239eda942808a5af57d8.png!small?1647963561271

未发现配置有可疑的ssh免密登录keys

7.服务器最近登录日志分析

1647963585_6239edc1e1b78cef563e1.png!small?1647963586058

其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。

最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211

8.查看最近爆破登录日志

1647963633_6239edf1ea6aa90852a8c.png!small?1647963634281

1647963639_6239edf792948331c6a5e.png!small?1647963639920

该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;

9.账号异常排查

1647963665_6239ee11a98d94450c76b.png!small?16479636657331647963674_6239ee1ae54177fed8d2e.png!small?1647963675155

分析:未发现异常可疑账号

10.查看历史操作日志

1647963741_6239ee5dab121280036bc.png!small?1647963741820

1647963747_6239ee638a1607b3184a3.png!small?1647963747554

分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录

11.自启动项分析

1647963768_6239ee7899e6409f825e6.png!small?1647963768748

未发现异常

12.计划任务

1647963794_6239ee924b0f3470a2ce1.png!small?1647963794443

未发现异常

13.根除

(1)修改弱口令为强复杂度扣口令

(2)Kill -9 haiduc  强行杀毒恶意进程后,进程断开

杀死进程前

1647963879_6239eee71dc27b312db64.png!small?1647963879231

杀死进程后

1647963967_6239ef3ff37c58c7f5444.png!small?1647963968115

(3)删除对应的文件目录和文件

1647963995_6239ef5b4ef244242179c.png!small?1647963995375

1647963999_6239ef5f3ccc6afbdf80b.png!small?1647963999473

截止目前,服务器恶意进程停止和态势感知恶意告警消失。


分析小结

通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。

五、恢复阶段工作说明

六、跟踪阶段工作说明

截止目前,病毒未复发,未发现木马病毒二次扩散传播,待后续继续跟踪观察网络安全态势和告警。


本文作者:Gavin吴, 转自FreeBuf