前言

在某個(gè)風(fēng)和日麗的下午，突然收到客戶那邊運(yùn)維發(fā)過(guò)來(lái)的消息說(shuō)我司的DTA設(shè)備在瘋狂告警，說(shuō)存在惡意域名外聯(lián)，我急忙背上小背包前往客戶現(xiàn)場(chǎng)，經(jīng)過(guò)與客戶協(xié)同排查，最終確定該事件為一起挖礦病毒引起的惡意域名外聯(lián)事件。（因客戶信息保密且為了保證文章邏輯完整性，部分截圖為后期追加圖）

事件分析

一看域名地址donate.v2.xmrig.com，xmrig這不門羅幣的礦池地址嗎，看來(lái)是個(gè)挖礦事件，從DTA上的告警時(shí)間和告警事件來(lái)看，確實(shí)是個(gè)挖礦事件。經(jīng)過(guò)在DTA產(chǎn)品上分析發(fā)現(xiàn)該IP的流量信息，發(fā)現(xiàn)該IP主機(jī)一直在對(duì)該惡意域名進(jìn)行外聯(lián)請(qǐng)求，經(jīng)過(guò)和客戶溝通之后，對(duì)被害主機(jī)進(jìn)行上機(jī)排查。執(zhí)行top命令并未發(fā)現(xiàn)存在CPU異常，執(zhí)行ps命令也未發(fā)現(xiàn)惡意進(jìn)程，netstat命令也未發(fā)現(xiàn)惡意ip連接等行為。

但是在DTA上，該臺(tái)主機(jī)確實(shí)一直在請(qǐng)求惡意域名，應(yīng)該是做了一些隱藏進(jìn)程的手段，現(xiàn)在類似這種挖礦病毒存在一種主流的隱藏方法，那就是通過(guò)LD_PRELOAD來(lái)修改運(yùn)行鏈接庫(kù)，修改LD_PRELOAD之后允許在你的程序運(yùn)行前加載所修改的動(dòng)態(tài)鏈接庫(kù)。那去/etc目錄下看看是否存在ld.so.preload這個(gè)文件

用系統(tǒng)的自帶的ls命令并未發(fā)現(xiàn)ld.so.preload文件，這里懷疑是一些系統(tǒng)自帶的ls等命令已經(jīng)被動(dòng)態(tài)鏈接庫(kù)所hook劫持了，導(dǎo)致查看不到文件，所以上傳了一個(gè)busybox，不用系統(tǒng)自帶的命令來(lái)進(jìn)行查看。

ld.so.preload這個(gè)文件，在系統(tǒng)中默認(rèn)不存在這個(gè)文件或者該文件為空這里直接通過(guò)busybox把這個(gè)文件給進(jìn)行刪除

然后再次使用top命令進(jìn)行查看

執(zhí)行l(wèi)sof -p [pid]命令來(lái)定位挖礦木馬進(jìn)程文件

來(lái)到該目錄下發(fā)現(xiàn)如下

kill -9 3582558去kill掉挖礦木馬進(jìn)程，然后再把挖礦木馬一并刪除，但是一段時(shí)間后，DTA設(shè)備上又傳來(lái)了失陷告警，且該目錄下又重新生成了挖礦程序。使用crontab -l 檢查定時(shí)任務(wù)，發(fā)現(xiàn)一個(gè)可疑定時(shí)程序，該定時(shí)執(zhí)行一個(gè)a.sh文件

該腳本主要內(nèi)容如下

定義環(huán)境變量用來(lái)存取配置文件，然后檢查ddns.log文件是否存在，這里的邏輯是檢查當(dāng)前時(shí)間與文件最后修改時(shí)間的差值。如果這個(gè)差值大于 6 秒，腳本輸出 "process is not running"，表示進(jìn)程可能已經(jīng)停止運(yùn)行。如果差值不超過(guò) 6 秒，腳本認(rèn)為進(jìn)程可能仍在運(yùn)行。最后根據(jù)不同用戶來(lái)curl不用的sh文件，ai.sh一些關(guān)鍵代碼如下

殺死大于CPU使用率超過(guò)65%的所有進(jìn)程，防止一些其他挖礦程序或者其他干擾CPU進(jìn)程的運(yùn)行

下載的文件名和受害機(jī)上文件一致，且確定為挖礦程序。

對(duì)此刪除掉惡意定時(shí)任務(wù)、挖礦病毒，重新kill進(jìn)程，DTA恢復(fù)正常，無(wú)失陷流量告警。挖礦病毒應(yīng)急算是解決完了，要繼續(xù)還原攻擊者的攻擊鏈路，根據(jù)挖礦木馬可以分析出攻擊者最先落地的是一個(gè)a.sh文件，根據(jù)a.sh文件名和落地時(shí)間和/var/log/messages里面所顯示的腳本首次啟動(dòng)時(shí)間去查找日志，通過(guò)在態(tài)感、WAF、日志審計(jì)系統(tǒng)等設(shè)備再結(jié)合開放的端口服務(wù)結(jié)合查找，終于定位到一條如下攻擊日志。

POST /pages/doenterpagevariables.action HTTP/1.1          

通過(guò)再次復(fù)現(xiàn)驗(yàn)證

可以確認(rèn)攻擊者通過(guò)8090端口開放的Confluence應(yīng)用（該版本的Confluence應(yīng)用存在RCE漏洞）進(jìn)行g(shù)etshell，然后上傳a.sh文件，最后上傳挖礦木馬進(jìn)行挖礦操作。至此整個(gè)攻擊鏈路和應(yīng)急流程已全部梳理完畢。

審核編輯 黃宇