专栏首页云鼎实验室的专栏事件分析 | 一起攻击者利用 Redis 未授权访问漏洞进行新型入侵挖矿事件

事件分析 | 一起攻击者利用 Redis 未授权访问漏洞进行新型入侵挖矿事件

| 本文作者 hanochzhang、 jaryzhou

近日,腾讯安全云鼎实验室发现一起针对云上服务器利用 Redis 未授权访问漏洞的入侵挖矿事件,和以往研究发现的入侵挖矿行为相比,此次入侵行为更具有针对性,主要瞄准大型云服务商提供的服务器,并且入侵手法更高级,具备扫描感染、进程隐藏等多种能力。

一、入侵分析

攻击者利用 Redis 未授权访问漏洞入侵服务器,写入 crontab 任务下载恶意脚本并植入挖矿程序。仔细分析此次入侵事件,有以下特点:

➢ 恶意脚本存放在 hxxps://pastebin.com 站点,下载链接频繁改变,方便隐藏,增加拦截成本;

➢ 通过受害者服务器感染更多有相同漏洞的外网服务器,使得难以追踪真实攻击源;

➢ 从 ident.me 站点获取要感染的 IP 地址,多是大型云服务提供商的服务器地址;

➢ 采用对抗手段,卸载安全产品,极有可能是针对云上服务器的入侵挖矿行为;

➢ 在 root 和 ubuntu 用户目录下写 SSH 公钥,并设置 iptables 禁止外网访问 Redis,后续可通过 SSH 后门入侵;

➢ 受害服务器访问 hxxps://2no.co/11Grb,记录受害者 IP 地址;

➢ 利用 Linux 动态链接库加载机制隐藏进程,使用 top 等命令不能发现异常进程,增加排查难度;

➢ 留存在系统上的恶意脚本功能不全,仅仅守护挖矿进程,隐藏真实的攻击手法;

➢ 挖矿程序经过 UPX 加壳处理,增加检测难度。

恶意脚本中定义的函数如下图:

由于脚本内容过多,下面先分析脚本的核心部分,再对部分函数进行细致分析。

1. 恶意脚本的核心程序如下:

恶意脚本首先访问 hxxps://pastebin.com/raw/SGM25Vs3, 返回内容为noupdate 或 update;根据返回内容执行不同的流程,返回内容为 update 则调用 echocron 函数更新 crontab 任务,否则运行一系列函数下载挖矿程序、Redis 扫描等程序;最后访问 hxxps://2no.co/11Grb 记录受害者 IP,并且在服务器的 root 和 ubuntu 用户目录下写入 SSH 公钥,后续的入侵数据也提取到攻击者 SSH 访问的 IP 地址为103.87.9.40,属于3A网络运营商(cnaaa.com)。

2. 恶意脚本中的部分函数:

☞ tables 函数

tables 函数设置 iptables 规则,禁止外网访问 Redis 6379端口,运行本地访问6379端口。生成 /tmp/.tables 文件,作为 iptables 规则设置的标志。

☞ uninstall 函数

uninstall 函数卸载安全产品,生成 /tmp/.uninstall 文件作为卸载成功的标志。

☞ python 函数

python 函数执行一段 Python 代码,生成 /tmp/.tmpp 作为执行成功的标志。代码比较简单,解码 base64 字符串并调用 exec 执行,base64 解码后内容如下:

从 hxxps://pastebin.com/raw/eRkrSQfE 获取 base64 编码的内容,解码后执行。解码内容如下:

Python 脚本扫描外网开放6379端口的服务器,利用 Redis 未授权访问漏洞写 crontab 任务。脚本从 ident.me 站点获取要扫描的 IP 地址,生成B段 IP 地址列表,然后扫描这些 IP 地址,若存在 Redis 未授权漏洞,则写入 crontab 任务,内容如下:

站点 hxxps://pastebin.com/raw/5bjpjvLP,内容如下:

hxxps://pastebin.com/raw/Gw7mywhC 返回的内容和最初分析的恶意脚本内容一致,表明攻击者利用受害者的服务器去感染外网存在 Redis 未授权访问漏洞的服务器。

☞ system 函数

system 函数从 hxxps://pastebin.com/raw/KqzUfgz0 下载脚本命名为 dns,存放于系统 bin 目录下,然后赋予脚本可执行权限,并写入crontab任务。dns 文件内容为

hxxps://pastebin.com/raw/9DTSBYBt 返回的内容,解码后发现仅保留了下载挖矿程序和写 crontab 任务功能,删除了 Redis 扫描,卸载安全产品等功能。将 dns 文件存放在服务器上,功能越少越方便隐藏攻击者的入侵手法。

☞ top 函数

top 函数从

hxxps://monero.minerxmr.ru/1/1535595427x-1404817712.jpg 下载恶意程序,主要功能是过滤挖矿进程,过滤进程名为 kworkerds。下载文件命名为 libdns.so,存放在系统 /usr/local/lib/ 路径下,然后将 /usr/local/lib/libdns.so 写入 /etc/ld.so.preload,这里是利用 Linux 的动态链接库预加载机制,是一种常用的进程隐藏方法,而系统命令 top 受这个机制影响的。因此在 Linux 上执行 top 命令并不能看到挖矿的进程。

☞ downloadrunxm 函数

downloadrunxm 下载挖矿配置文件,并根据服务器操作系统位数下载合适的挖矿程序。挖矿程序主要配置信息如下:

矿池地址:

stratum+tcp://x1.minerxmr.ru:56415

钱包地址: 

47eCpELDZBiVoxDT1tBxCX7fFU4kcSTDLTW2FzYTuB1H3yzrKTtXLAVRsBWcsYpfQzfHjHKtQAJshNyTU88LwNY4Q3rHFYA

下载的挖矿程序都经过 UPX 加壳处理,去壳后分析,发现使用了两种不同挖矿程序,一个是基于 https://github.com/xmrig/xmrig 源码编译的挖矿程序,版本为 XMRig 2.6.5,另一个是挖矿工具 xmr-stak,github 地址为 https://github.com/fireice-uk/xmr-stak,版本为v2.4.7。

二、攻击者信息

通过攻击者使用的 pastebin 站点的 URL 进行分析,发现使用的用户名为 SYSTEMTEN, 地址为 hxxps://pastebin.com/u/SYSTEMTEN

三、安全建议

利用 Redis 未授权访问漏洞读取 Redis 数据库中的数据,可能导致敏感信息泄露;恶意执行 Redis 提供的 flushall 命令清空数据,可能导致数据丢失;执行 Redis 提供的 config 命令进行文件读写操作,可能导致目标服务器被远程控制。为了避免正常业务受影响,云鼎实验室安全运营团队提醒企业务必高度重视,可按下述方式进行防护。

➢ 禁止外网访问 Redis

修改 redis.conf 文件,绑定本地 IP 或内网 IP,禁止外网访问 Redis

bind 127.0.0.1

➢ 修改 Redis 默认端口

修改 redis.conf 文件,将默认的6379端口改为其他端口

➢ Redis添加密码验证

修改 redis.conf 文件,设置 Redis 添加密码验证

requirepass mypassword

➢ 禁用高危命令

修改 redis.conf 文件,禁用远程修改DB文件地址

rename-command FLUSHALL ""

rename-command CONFIG   ""

rename-command EVAL     ""

➢ 低权限运行 Redis 服务

给 Redis 服务创建单独的user和home目录,并且配置禁止登陆,例如:

groupadd -r redis && useradd -r -g redis redis

➢ 采用腾讯云 Redis 数据库产品

腾讯云 Redis 数据库产品默认已进行加固且会由相关团队定期维护,不受该漏洞影响。

五、附录

IOCs:

● IP

103.87.9.40

167.99.8.184

● URL

https://pastebin.com/raw/9VbG2qrD

https://pastebin.com/raw/KqzUfgz0

https://pastebin.com/raw/SGM25Vs3

https://pastebin.com/raw/cAfrnxHu

https://pastebin.com/raw/wRrpixP3

https://monero.minerxmr.ru/1/1535595427x-1404817712.jpg

https://monero.minerxmr.ru/1/1537330544x-1404764619.jpg https://monero.minerxmr.ru/1/1537410304x-1404764882.jpg https://monero.minerxmr.ru/1/1537410750x-1566657908.jpg https://monero.minerxmr.ru/2/1535175015x-1404817880.jpg https://monero.minerxmr.ru/2/1535175343x-1566657675.jpg  https://monero.minerxmr.ru/2/1534496022x-1404764583.jpg https://monero.minerxmr.ru/2/1537410304x-1404764882.jpg https://monero.minerxmr.ru/007/008/1534496022x-1404764583.jpg https://monero.minerxmr.ru/007/1534496022x-1404764583.jpg https://monero.minerxmr.ru/007/1535595427x-1404817712.jpg https://2no.co/11Grb x1.minerxmr.ru:56415 ident.me

● 样本 MD5

59d04962a3934303cd87f640daa725d1 ff7005e420393e3c18b264bdebe231e7 0497a86dc11e773d93deeb728da0f675 5ab9a32f2a864e2533b382b33c640858 e1a725cdb275e8f6140c2b94f0fbe2e8 a29678541358d595d88ab3c9e95ba29b e6d66c765048e5c1a997276b6c962720 0497a86dc11e773d93deeb728da0f675 b7992c96303f995669ef0d5926c35ec1 39f37cc04b45210cfa44eeec6e1be283 76e7845eca279ab65783f5eb9ad9d8fb 9ed18ce3c758646ead9dcae17fbf9a95 c1e7f16b7de6fe03848a17333c7c49e0

● 矿池地址

stratum+tcp://x1.minerxmr.ru:56415

● 钱包地址

47eCpELDZBiVoxDT1tBxCX7fFU4kcSTDLTW2FzYTuB1H3yzrKTtXLAVRsBWcsYpfQzfHjHKtQAJshNyTU88LwNY4Q3rHFYA

本文分享自微信公众号 - 云鼎实验室(YunDingLab),作者:云鼎实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-09-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 事件分析 | 门罗币挖矿新家族「罗生门」

    腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样...

    云鼎实验室
  • 事件分析 | 门罗币挖矿新家族「罗生门」

    腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本...

    云鼎实验室
  • 云上挖矿大数据:黑客最钟爱门罗币

    本文作者:zhenyiguo、jaryzhou、youzuzhang 2018年,区块链项目在这一年上演着冰与火之歌,年初火爆的比特币在一年时间内跌去八成。除...

    云鼎实验室
  • 锦鲤之行 | 畅游腾讯全球数字生态大会,近距离倾听行业大咖分享

    日前,腾讯全球数字生态大会在昆明顺利落幕。作为本次锦鲤奖得主的陈先生,除了参与本次大会的主峰会之外,企点君也邀请他来到了我们“智能客服与营销”分论坛腾讯企点的...

    腾讯企点
  • 深度学习环境搭建-CUDA9.0、cudnn7.3、tensorflow_gpu1.10的下载

    本文作者接触深度学习2个月后,开始进行目标检测实践。 本文作者的专题《目标检测》链接:https://www.jianshu.com/c/fd1d6f784c...

    潇洒坤
  • 挖矿病毒无处不在—Coinhive android APP滥用分析报告

    摘要 近日安恒APT团队截获到一批(300多个)各种类别冒充为黑客破解版本的APK样本: ? 经过分析为Coinhive网站挖矿API在android平台的滥用...

    安恒信息
  • WordPress免插件仅代码实现文章浏览次数的方法(2)

    上一篇文章中已经给出了一种纯代码实现实现文章浏览次数的方法,今天再来提供另外一种。如果之前的不能实现,可以用这个来试试。代码来源于willian大师的my_vi...

    Jeff
  • 本专题的相关信息说明

    我始终坚信一句话,在这里分享给大家,望共勉:一个人的潜力要高于一切。在我们编程行业,一个人的潜力指的就是他的编程内功。为什么大厂更愿意招基础好的人即便它们什么框...

    Single
  • 【批处理学习笔记】第二十四课:直接传递

        直接传递参数,即在使用call命令时,不使用任何参数,在子函数或子批处理里面直接对主函数(也称父批处理)里面的变量进行修改。这跟汇编语言里面的参数传递方...

    Angel_Kitty
  • LINUX下的PHP

    由于linux系统的稳定性,大部分的PHP服务器都被部署在linux上,而且像redis等扩展在linux能得到更好的支持,所以对于PHP程序员来说,使用lin...

    枕边书

扫码关注云+社区

领取腾讯云代金券