蜜罐实例分析 : 一款针对树莓派微型蠕虫样本捕获分析记录

前言

笔者试着在腾讯云公有云上部署了两台机器,一台WindowsServer、一台Ubuntu。这两台机器通过FileBeat和WinLogBeat以及Samba服务将各自系统的IO信息传输至一台日志服务器,在日志服务器上部署了ELK栈来保存和处理这些服务器上的IO信息和系统日志,随后,我在这些服务器上部署了弱口令、带有漏洞的系统组建和WEB服务,作为高交互的蜜罐系统使用。

	

用一副图来表达一下这个小型的蜜罐系统:

当然,这个系统并不是重点,重点是我们可以借助它无死角地观察到试图进入系统内部的黑客做了什么。

神奇的pi

在Linux系统部署后的一段时间里,并没有观察到系统被入侵的痕迹,只是发现了许多扫描记录,这些扫描记录大多指向SSH服务,说明攻击者多数试图以暴力破解的方式攻入系统,于是我仔细查看了一下这些暴力破解的内容:

可以看到pi是一个访问频率非常高的用户名,这引起了我的注意,因为pi这个用户名似乎与弱口令和用户服务没有直接关联,于是我试着去搜索:

原来这个用户名是树莓派的默认用户名,那么我在机器上创建了一个用户名为pi的帐号,并且设置对应的弱口令,引诱攻击者进入蜜罐:

接下来就是耐心等待ssh登录成功的报警信息了

攻击捕获

8月7日晚21点我截获了第一条攻击者登入的信息:

随后,日志系统没有作出进一步的警报,主要是因为过滤模块规则设置不够完善所致,好在我通过分析Sysdig增量备份的IO信息帮助我看到了攻击者执行的指令:

通过攻击者执行的指令可以发现,其通过scp指令获取了一个名为”BVpNMJHv”的文件,并将其保存在/tmp下,随后进入tmp目录赋予该文件可执行权限,然后调用bash脚本执行了这个文件;

随后,攻击者copy了这个文件到/opt/目录下,并试图以root权限修改/etc/rc.local文件,将自己的信息写入系统启动脚本,随后尝试重启系统.这个写入过程是非常粗暴的,我们可以看到一旦攻击者修改成功,rc.local文件中将只包含攻击者写入的内容.

紧接着登入蜜罐系统,试图获取”BVpNMJHv”这个文件,但是发现它已不在/tmp或/opt目录下

因此,笔者试图从Sysdig中恢复被攻击者删除的文件信息:

行为分析

恢复完毕后,获得了这个shell脚本的完整内容,接下来作一个简单的分析:

这个sh脚本的几个关键点:

写入启动脚本:

这一部分主要目的是为了使这个脚本能够在系统重启后自动运行;

2.杀死一系列进程:(注意到其中有挖矿服务进程)

3.将一个可疑地址加入到/etc/hosts,将本地地址解析到bins.deutschland-zahlung.eu删除shell设置的环境变量,并且改掉pi用户的密码信息

4.ssh生成公钥写入ssh配置文件

5.配置一系列可疑域名,后续分析怀疑是IRC服务器

6.以后台服务形式挂起执行可疑的$BOT程序

7.安装zmap(扫描或DDOS)和sshpass

8.利用zmap作攻击跳板,继续利用当前机器,以”pi:raspberry”这样的口令对去扫描IP列表下的其他机器,一旦攻入则通过scp上传攻击脚本.

总结

整个攻击流程并不复杂,但是对于自动化批量攻击的流程来说是非常好的例子,通过这样一种自动化的攻击,黑客往往借助zmap等工具在很短时间内扫遍全网,如果攻击payload不仅仅是弱口令,而是某个尚未被披露的漏洞或者披露但未打补丁的漏洞,那么就可能造成下一个Mirai或者WannaCry.

在分析这个攻击脚本后,我针对性地优化了Falco的报警规则,在日志系统中成功捕获了一系列类似该脚本在攻击时执行的指令:

虽然是针对物联网和树莓派设备的,但是与云端自动化攻击流程有一定的相似之处,将攻击者的攻击路径图形化抽象一下,可以得到下面这个流程:

与传统的僵尸网络相比,云端使得攻击传播更为迅速,并且云服务器充足的带宽和数量众多的公网IP是DDOS和比特币、门罗币等矿机的首选目标。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程

Captcha插件后门分析和修复

0×00 前言 近日看到网上爆出wordpress官方插件captcha出现后门,大惊,本人当初千辛万苦找验证码插件,在十几个插件中选了这款,感觉还挺好用,竟然...

2026
来自专栏黑白安全

GitHub 推出 Python 安全警告,识别依赖包的安全漏洞

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

674
来自专栏企鹅号快讯

GoAhead服务器 远程命令执行漏洞 分析报告

安全通告 1 GoAhead Web Server是为嵌入式实时操作系统(RTOS)量身定制的开源Web服务器。很多国际一线大厂商,包括IBM、HP、Oracl...

20810
来自专栏小文博客

在线检测WP站点是否安全

1092
来自专栏Timhbw博客

Genymotion安卓模拟器

2016-03-1613:54:08 发表评论 1,513℃热度 安卓开发的同学们用过安卓模拟器(当然我只是因为上课需要研究了下),Eclipse里面自带模拟...

29910
来自专栏FreeBuf

相册类木马专题分析

1. 摘要 2016年大量安卓手机用户反馈,其手机会自动向通讯录发送带有链接的短信及出现银行卡自动扣费等现象。安全研究人员针对这系列的木马,进行了相关的分析及追...

3036
来自专栏FreeBuf

一个QQ钓鱼木马事件的深度追踪

0x01 今天早上刚起来,一个朋友就发给我一个文件,一看文件的名字是拿货清单.tbz2,我第一感觉是病毒,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,...

2425
来自专栏Danny的专栏

如何防止自己的电脑成为肉鸡?

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

1653
来自专栏企鹅号快讯

检查你的Linux PC是否受Meltdown和Spectre安全缺陷影响

它们影响到我们所有人,现在有人为Linux用户编写了一个简单的教程,看看你们的PC是否受到保护,免受Meltdown和Spectre安全漏洞的影响。 Meltd...

2235
来自专栏FreeBuf

LG智能手机爆出两个远程代码执行漏洞

Check Point 的研究员发现了 LG(也称为 LGEIME)智能手机的两个漏洞,这些漏洞都存在于默认的键盘上,而且是 LG 设备独有的。第一个漏洞是在敏...

1103

扫码关注云+社区