蜜罐实例分析 : 一款针对树莓派微型蠕虫样本捕获分析记录

前言

笔者试着在腾讯云公有云上部署了两台机器,一台WindowsServer、一台Ubuntu。这两台机器通过FileBeat和WinLogBeat以及Samba服务将各自系统的IO信息传输至一台日志服务器,在日志服务器上部署了ELK栈来保存和处理这些服务器上的IO信息和系统日志,随后,我在这些服务器上部署了弱口令、带有漏洞的系统组建和WEB服务,作为高交互的蜜罐系统使用。

	

用一副图来表达一下这个小型的蜜罐系统:

当然,这个系统并不是重点,重点是我们可以借助它无死角地观察到试图进入系统内部的黑客做了什么。

神奇的pi

在Linux系统部署后的一段时间里,并没有观察到系统被入侵的痕迹,只是发现了许多扫描记录,这些扫描记录大多指向SSH服务,说明攻击者多数试图以暴力破解的方式攻入系统,于是我仔细查看了一下这些暴力破解的内容:

可以看到pi是一个访问频率非常高的用户名,这引起了我的注意,因为pi这个用户名似乎与弱口令和用户服务没有直接关联,于是我试着去搜索:

原来这个用户名是树莓派的默认用户名,那么我在机器上创建了一个用户名为pi的帐号,并且设置对应的弱口令,引诱攻击者进入蜜罐:

接下来就是耐心等待ssh登录成功的报警信息了

攻击捕获

8月7日晚21点我截获了第一条攻击者登入的信息:

随后,日志系统没有作出进一步的警报,主要是因为过滤模块规则设置不够完善所致,好在我通过分析Sysdig增量备份的IO信息帮助我看到了攻击者执行的指令:

通过攻击者执行的指令可以发现,其通过scp指令获取了一个名为”BVpNMJHv”的文件,并将其保存在/tmp下,随后进入tmp目录赋予该文件可执行权限,然后调用bash脚本执行了这个文件;

随后,攻击者copy了这个文件到/opt/目录下,并试图以root权限修改/etc/rc.local文件,将自己的信息写入系统启动脚本,随后尝试重启系统.这个写入过程是非常粗暴的,我们可以看到一旦攻击者修改成功,rc.local文件中将只包含攻击者写入的内容.

紧接着登入蜜罐系统,试图获取”BVpNMJHv”这个文件,但是发现它已不在/tmp或/opt目录下

因此,笔者试图从Sysdig中恢复被攻击者删除的文件信息:

行为分析

恢复完毕后,获得了这个shell脚本的完整内容,接下来作一个简单的分析:

这个sh脚本的几个关键点:

写入启动脚本:

这一部分主要目的是为了使这个脚本能够在系统重启后自动运行;

2.杀死一系列进程:(注意到其中有挖矿服务进程)

3.将一个可疑地址加入到/etc/hosts,将本地地址解析到bins.deutschland-zahlung.eu删除shell设置的环境变量,并且改掉pi用户的密码信息

4.ssh生成公钥写入ssh配置文件

5.配置一系列可疑域名,后续分析怀疑是IRC服务器

6.以后台服务形式挂起执行可疑的$BOT程序

7.安装zmap(扫描或DDOS)和sshpass

8.利用zmap作攻击跳板,继续利用当前机器,以”pi:raspberry”这样的口令对去扫描IP列表下的其他机器,一旦攻入则通过scp上传攻击脚本.

总结

整个攻击流程并不复杂,但是对于自动化批量攻击的流程来说是非常好的例子,通过这样一种自动化的攻击,黑客往往借助zmap等工具在很短时间内扫遍全网,如果攻击payload不仅仅是弱口令,而是某个尚未被披露的漏洞或者披露但未打补丁的漏洞,那么就可能造成下一个Mirai或者WannaCry.

在分析这个攻击脚本后,我针对性地优化了Falco的报警规则,在日志系统中成功捕获了一系列类似该脚本在攻击时执行的指令:

虽然是针对物联网和树莓派设备的,但是与云端自动化攻击流程有一定的相似之处,将攻击者的攻击路径图形化抽象一下,可以得到下面这个流程:

与传统的僵尸网络相比,云端使得攻击传播更为迅速,并且云服务器充足的带宽和数量众多的公网IP是DDOS和比特币、门罗币等矿机的首选目标。

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏惨绿少年

企业架构规划及服务器优化参数

第1章 企业架构规划 1.1 架构图 ? 1.1.1 用户访问网站组成 类型 作用 实现方式 顾客-用户 访问网站的人员 ...

2090
来自专栏北京马哥教育

linux系统被入侵后处理实战

作者 李振良 | 来源 51cto 糖豆贴心提醒,本文阅读时间8分钟,文末有秘密! ? 事件背景 操作系统:Ubuntu12.04_x64 运行业务:公司...

3585
来自专栏FreeBuf

Metasploitable2使用指南

Metasploitable 2 Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。版...

2639
来自专栏FreeBuf

国内研究人员首次Wifi重大漏洞利用实现 | Krack攻击测试套件打包

弹出连接提示弹窗后,输入任意密码位数均可,尝试连接,目标wifi会被攻击,创造握手,目标wifi密钥会被重置成你设定的密钥,在iphone上可以看到有人不断连接...

2899
来自专栏wblearn

Windows下VPN操作指引写在前面VPN操作指引

很多时候,你下班了,但是公司又有事需要你处理,外网又上不了公司内网,怎么办呢?这个时候,可以通过vpn的方式在外网连进去,方便工作。

551
来自专栏PHP技术

概念了解:CGI,FastCGI,PHP-CGI与PHP-FPM

CGI CGI全称是“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须...

3128
来自专栏FreeBuf

当DNS泄漏让VPN不再安全,我们该怎么办?

当你想要匿名上网时,用VPN是最简单的解决方案——你的IP地址,服务提供商和位置都会隐藏起来。但是,DNS泄漏完全可以让藏在VPN之后的你原形毕露。 FreeB...

3617
来自专栏后端技术探索

nginx服务器究竟是怎么执行php项目

CGI全称是“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须运行在网...

731
来自专栏猛牛哥的博客

virmach家的KVM小鸡DDwin系统

1563
来自专栏逸鹏说道

Redis安全小结

缘由: 近年来,随着Redis的流行,越来越多的安全研究人员注意到了Redis的安全问题,并通过Redis发起攻击。虽然我不做那方面,但是了解一下和Redis相...

3615

扫码关注云+社区