挖矿木马病毒应急案例

结论建议

结论:

  1. 感染的病毒为最新的 GANDCRAB V5.2,该版本目前尚无公开解密秘钥,在不支付赎金前提下, 无法对加密文件进行解密。
  2. 该主机在 2018 年 5 月至 7 月期间,感染过多个恶意程序,由于涉及域名均已失效,但均不具 备勒索病毒特征,与此次事件无关。
  3. 通过对系统日志
    分析,排除了攻击者通过远程桌面(RDP)口令爆破植入病毒程序的可能性。1. 由于 WebLogic 存在多个安全漏洞
    且暴露在互联网,导致被攻击者利用并植入了相关后门程序。1. 通过攻击特征及版本验证,确认攻击者使用了 2019 年 4 月 25 日公开的 WebLogic wls9_async_ respon
    se 反序列化命令执行漏洞(CVE-2019-2725 )。建议:
  4. 对于重要的加密感染文件,建议备份留存并等待秘钥公布,历史上 GANDCRAB病毒作者曾多 次公布解密秘钥。
  5. 通过黑白盒结合方式对 WEB应用做安全测试及后门排查,防止将有后门的应用再次部署上线。
  6. 加强对操作系统及 WEB日志的审计留存,如 WEB应用可通过反向代理方式对访问记录进行留 存。
  7. 及时更新安全防护设备规则,如 WAF、IPS 等,防止被网络上公开的 1day 漏洞攻击利用。
  8. 定期定时对重要业务数据进行备份,以便在事后及时对业务系统进行恢复。

挖矿木马病毒应急案例

  1. 背景介绍
    某门户网站 Windows 服务器 CPU 使用率 100%,初步判断被植入了挖矿木马病毒。

处置过程

  1. 挖矿程序已被管理员清除,通过回收站恢复样本并明确文件创建时间。
    图 5.23 文件创建时间
  2. 扫描网站目录 webshell 后门,分析 web 日志均未发现异常。
  3. 通过分析 SQL Server 日志,发现存在 sa 用户爆破痕迹,并且启用了 xp_cmdshell。
    图 5.24 sa 用户爆破痕迹
  4. 分析系统应用程序日志,进一步确认 SQL Server存储过程(xp_cmdshell)被启用并执行系统命令。
    图 5.25 xp_cmdshell 执行记录
    挖矿程序分析:
    通过对样本进行分析发现为 KingMiner 挖矿木马病毒。KingMiner 挖矿木马病毒利用 SQL Server 弱 口令爆破获取系统权限,进而植入挖矿木马。该木马采用白利用的方式挖取门罗币。病毒为保证挖矿流 程成功执行,在 XP以上系统中,还会执行备用流程,利用 powershell 内存加载的方式挖取门罗币,整 体的病毒流程:
    图 5.26 KingMiner 双重挖矿模型

结论建议

结论: 1. 攻击者通过成功爆破系统 1433 端口 SQL Server 口令,利用存储过程 xp_cmdshell 执行系统命令,
运行挖矿程序。
建议

  1. 对所有的 SQL Server 用户口令进行更改,增加口令复杂度。
  2. 修改策略只允许特定的 IP 从公网访问 1433 端口或者禁止 1433 端口在公网开放。
  3. 建议对系统远程桌面等重要口令进行更改。
  4. 关闭存储过程 xp_cmdshell,严格控制数据库的用户权限,尽量不要赋予 sa 权限
    \ 关闭 xp_cmdshell
  5. 将系统的安全补丁更新到最新。
  6. 建议禁止服务器上外网。
  7. 建议使用专业的安全软件对服务器进行防护。

网页篡改事件应急案例

  1. 背景介绍
    2019 年 01 月从绿盟云监控告警得知,某客户网站页面被篡改。
    图 5.27 绿盟云监控告警

处置过程

打开网站首页,查看源代码发现 HTML代码中被插入了恶意广告:
图 5.28 HTML 代码中插入恶意广告
web 日志分析:
查看告警时间段的 web 日志得知,云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为:12/Jan/2019:06:01:10,请求 user-agent 头:Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322):
图 5.29 web 日志
筛 选 最 后 一 次 监 控 到 /portal/article/index/id/3077/cid/4.html 页 面 正 常 的 时 间 为 12/ Jan/2019:04:43:43:
图 5.30 web 日志
提取 12/Jan/2019:04:43:43-06:01:10 之间的日志进行分析,发现只有 IP(119.*.*.50)于 05:30 分 左右对 /static/font-awesome/fonts/indax.php 文件进行了访问:
图 5.31 日志分析
访问 /static/font-awesome/fonts/indax.php 文件,发现该文件为 php 大马:
图 5.32 PHP 大马
由此可确定攻击者调用 /static/font-awesome/fonts/indax.php 大马实现网页篡改。 ① 确定 webshell(/static/font-awesome/fonts/indax.php)的上传路径 /static/font-awesome/fonts/indax.php 首次访问时间为:10/Jan/2019:23:18:35 的记录:
图 5.33 首次访问时间 进一步分析发现,攻击者调用 content.php 进行了一系列操作:
图 5.34 操作记录
通过检索 content.php 关键字,发现 content.php 是攻击者通过 ThinkPHP 远程命令执行进行上传的, 上传者 IP 与调用 content.php 上传 /static/font-awesome/fonts/indax.php 的 IP 相同,为 112.*.*.30 。
命令执行的主要内容为:
上述命令的意思是,读取网址 http://xia*.*.net/ma.asp 的内容写入到本地 content.php 中。
应急人员下载 http://xia*.*.net/ma.asp 后,通过搭建环境,结合 web 日志,复现攻击者调用 content.php 进行的操作。最终确认攻击者实际调用 content.php 进行了 9 步操作。

  1. 删除网站根目录下
  2. 删除网站根目录下
  3. 删除网站根目录下
  4. 进入 /static/ 目录
    indax.php 文件 co.php 文件 class1.php 文件
  5. 进入 /static/images/ 目录
  6. 回到 /static/ 目录
  7. 进入 /static/Front-awesome/ 目录
  8. 进入 /static/Front-awesome/Fronts/ 目录
  9. 向 /static/Front-awesome/Fronts/ 目录传入文件(indax.php) 至此,可确定完整攻击路径如下:
  10. 2019 年 1 月 9 日 21 点 47 分 44 秒,攻击者(IP :112.*.*.30)通过 ThinkPHP 远程命令执行 漏洞上传文件名为 content.php 的 webshell。
  11. 2019 年 1 月 10 日 23 点 18 分 25 秒,攻击者通过 webshel(content.php)上传隐蔽性、免杀 能力更强大的木马后门 /static/font-awesome/fonts/indax.php。
  12. 2019 年 1 月 10 日 5 点 30 分到 32 分,攻击者通过 wehsehll(index.php)对 /portal/article/ index/id/3077/cid/4.html 页面进行了篡改,插入大量暗链。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 38674-2020 信息安全技术 应用软件安全编程指南

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,312评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,578评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,337评论 0 333
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,134评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,161评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,303评论 1 280
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,761评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,421评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,609评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,450评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,504评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,194评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,760评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,836评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,066评论 1 257
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,612评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,178评论 2 341

推荐阅读更多精彩内容

  • 前言 本文叙述了在Mysql、MSsql、Oracle、PostgreSQL平台下的sql注入探测方式与利用,作为...
    白面安全猿阅读 557评论 0 2
  • 一套实用的渗透测试岗位面试题,你会吗? 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源...
    g0阅读 4,804评论 0 9
  • 注入攻击的分类 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传...
    查无此人asdasd阅读 1,582评论 0 5
  • 来源:By:xiaopiao 安装nmap记录: (1)下载: wget http://nmap.org/dist...
    小向资源网阅读 462评论 0 0
  • 课程目标: 学会使用CSS选择器熟记CSS样式和外观属性熟练掌握CSS各种选择器熟练掌握CSS各种选择器熟练掌握C...
    sunny688阅读 388评论 0 1