0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

警告!恶意域名疯狂外联,原因竟然是……

jf_73420541 来源:jf_73420541 作者:jf_73420541 2024-06-26 10:53 次阅读

前言

在某个风和日丽的下午,突然收到客户那边运维发过来的消息说我司的DTA设备在疯狂告警,说存在恶意域名外联,我急忙背上小背包前往客户现场,经过与客户协同排查,最终确定该事件为一起挖矿病毒引起的恶意域名外联事件。(因客户信息保密且为了保证文章逻辑完整性,部分截图为后期追加图)

wKgaomZ438qAVXxnAABy5dI6wU8825.png

事件分析

wKgZomZ438-AAfSzAAIXCUaeDIw902.png

一看域名地址donate.v2.xmrig.com,xmrig这不门罗币的矿池地址吗,看来是个挖矿事件,从DTA上的告警时间和告警事件来看,确实是个挖矿事件。经过在DTA产品上分析发现该IP的流量信息,发现该IP主机一直在对该恶意域名进行外联请求,经过和客户沟通之后,对被害主机进行上机排查。执行top命令并未发现存在CPU异常,执行ps命令也未发现恶意进程,netstat命令也未发现恶意ip连接等行为。

wKgZomZ439SAfuDcAAqhx6zkdr4524.png

但是在DTA上,该台主机确实一直在请求恶意域名,应该是做了一些隐藏进程的手段,现在类似这种挖矿病毒存在一种主流的隐藏方法,那就是通过LD_PRELOAD来修改运行链接库,修改LD_PRELOAD之后允许在你的程序运行前加载所修改的动态链接库。那去/etc目录下看看是否存在ld.so.preload这个文件

wKgZomZ439iAV3A3AACq0CfstzA607.png

用系统的自带的ls命令并未发现ld.so.preload文件,这里怀疑是一些系统自带的ls等命令已经被动态链接库所hook劫持了,导致查看不到文件,所以上传了一个busybox,不用系统自带的命令来进行查看。

wKgZomZ4392ATo1nAADYXU8eh48799.png

ld.so.preload这个文件,在系统中默认不存在这个文件或者该文件为空这里直接通过busybox把这个文件给进行删除

wKgaomZ43-GAABlSAAE8YDPs5D8253.png

然后再次使用top命令进行查看

wKgaomZ43-WAR8SdAAfxQZmvaIU053.png

执行lsof -p [pid]命令来定位挖矿木马进程文件

wKgZomZ43-qAJtY2AAumVklDUr8141.png

来到该目录下发现如下

wKgaomZ43--AHXU9AALmyt6oyvw963.png

kill -9 3582558去kill掉挖矿木马进程,然后再把挖矿木马一并删除,但是一段时间后,DTA设备上又传来了失陷告警,且该目录下又重新生成了挖矿程序。使用crontab -l 检查定时任务,发现一个可疑定时程序,该定时执行一个a.sh文件

wKgZomZ43_WASOeyAAEFTpYNgJE153.png

该脚本主要内容如下

wKgaomZ43_qALc_fAAXXouCvrAg319.png

定义环境变量用来存取配置文件,然后检查ddns.log文件是否存在,这里的逻辑是检查当前时间与文件最后修改时间的差值。如果这个差值大于 6 秒,脚本输出 "process is not running",表示进程可能已经停止运行。如果差值不超过 6 秒,脚本认为进程可能仍在运行。最后根据不同用户来curl不用的sh文件,ai.sh一些关键代码如下

wKgZomZ44AKAFIDSAALNMxq6cvE396.png

杀死大于CPU使用率超过65%的所有进程,防止一些其他挖矿程序或者其他干扰CPU进程的运行

wKgaomZ44AeAG7kpAACNARBWOhc835.png

下载的文件名和受害机上文件一致,且确定为挖矿程序。

wKgaomZ44AyAW311AAIzHolGDto499.png

对此删除掉恶意定时任务、挖矿病毒,重新kill进程,DTA恢复正常,无失陷流量告警。挖矿病毒应急算是解决完了,要继续还原攻击者的攻击链路,根据挖矿木马可以分析出攻击者最先落地的是一个a.sh文件,根据a.sh文件名和落地时间和/var/log/messages里面所显示的脚本首次启动时间去查找日志,通过在态感、WAF、日志审计系统等设备再结合开放的端口服务结合查找,终于定位到一条如下攻击日志。

POST /pages/doenterpagevariables.action HTTP/1.1          

通过再次复现验证

wKgZomZ44BmAVdmAAAmAFOddldU662.png

可以确认攻击者通过8090端口开放的Confluence应用(该版本的Confluence应用存在RCE漏洞)进行getshell,然后上传a.sh文件,最后上传挖矿木马进行挖矿操作。至此整个攻击链路和应急流程已全部梳理完毕。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 域名
    +关注

    关注

    0

    文章

    72

    浏览量

    11286
  • 端口
    +关注

    关注

    4

    文章

    964

    浏览量

    32058
  • DTA
    DTA
    +关注

    关注

    0

    文章

    6

    浏览量

    2999
收藏 人收藏

    评论

    相关推荐

    域名解析是什么 为什么要进行域名解析

    什么是域名解析?相信很多之前没有接触过建站的人不了解什么是域名解析,也不知道具体有啥作用。比如我们在地址栏里输入“www.ipdatacloud.com”并点击回车,展示出来的就是IP数据
    的头像 发表于 11-22 10:12 162次阅读

    PCM2704的ROM编程好了,竟然是乱码,为什么?

    的说法将ROM编程好,接入系统,插入USB后,显示正在安装驱动,没想到安装完毕后竟然名称显示为乱码,百思不得其解。望各位大神帮我看看问题出在哪里 这是德州仪器官方数据表中关于ROM的三段重要描述 我按照说明编程如下 可是插入电脑后显示是乱码 求助大神,问题出在哪里?
    发表于 11-05 08:04

    远程升级频频失败?原因竟然是

    ​最近有客户反馈在乡村里频繁出现掉线的情况。 赶紧排查原因! 通过换货、换SIM卡对比排查测试,发现只有去年采购的那批模块在客户环境附近会出现掉线的情况,而今年采购的模块批次就不会掉线。。。 继续
    的头像 发表于 10-14 07:07 167次阅读
    远程升级频频失败?<b class='flag-5'>原因</b><b class='flag-5'>竟然是</b>…

    异常重启怎么破?多方排查后,原因竟然是。。。

    ​又是异常重启。。。让人摸不到头脑。 这几天,看到客户上报了重启问题,说是查不出原因。 重启现象是 ——有极个别设备在工作中不定时反复异常重启,大部分设备正常;反复重启设备,有时候又能持续正常工作
    的头像 发表于 10-14 07:04 255次阅读
    异常重启怎么破?多方排查后,<b class='flag-5'>原因</b><b class='flag-5'>竟然是</b>。。。

    令人头疼的异常重启,竟然是KV的锅…

    合宙模组异常重启原因排查
    的头像 发表于 09-26 18:14 425次阅读
    令人头疼的异常重启,<b class='flag-5'>竟然是</b>KV的锅…

    域名:结构、功能与管理

    域名是互联网的重要组成部分,是访问网络资源的基础。不仅是网络中的“门牌号”,也是企业和品牌在线身份的体现。接下来,让我来为大家科普一下域名相关问题。 域名的基本结构 域名的结构好几个部
    的头像 发表于 08-12 16:24 312次阅读
    <b class='flag-5'>域名</b>:结构、功能与管理

    阿里云推出首个域名AI大模型应用

    阿里云近日宣布其域名产品服务已全面完成AI化升级,并成功推出首个基于通义大模型的域名AI应用。此次升级不仅引入了“.ai”等40多个热门新域名后缀,还纳入了2000万个全球域名资源,极
    的头像 发表于 08-09 14:55 505次阅读

    晶体为什么会老化?原因竟然是....

    晶体
    TROQ创捷电子
    发布于 :2024年06月25日 08:52:52

    esp32连接手机热点无法解析域名是什么原因

    版本:idf3.3.3 硬件:esp32-worver-e esp32连接手机热点后(红米 note9 pro)成功后。无法进行域名解析。直接使用IP可以进行连接。 esp32 连接笔记本热点,无线路由器等能正常使用域名连接。 这个是什么
    发表于 06-19 08:02

    STVD工程点编译时会出现警告,是什么原因

    STVD工程点编译时会出现下面警告,是什么原因
    发表于 04-28 06:12

    使用ST Motor Control Workbench 5.3生成代码时出现错误警告,什么原因

    使用ST Motor Control Workbench 5.3 生成代码时出现错误警告,什么原因
    发表于 04-19 07:15

    谷歌SGE生成搜索引擎存在恶意网站推荐问题

    BleepingComputer研究发现,谷歌SGE所推荐的上线网站大多选用.online顶级域名,经过层层重定向后,用户最终可能遭遇诈骗或恶意网页。
    的头像 发表于 03-26 13:59 370次阅读

    什么是域名?什么是DNS?DNS域名原理你知道吗?

    域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。具有独一无二,不可重复的特性。
    的头像 发表于 03-11 17:01 5627次阅读

    Guardio Labs揭秘SubdoMailing网络攻击活动:每日发送数百万封恶意邮件

    Nati Tal与Oleg Zaytsev两位学者分析发现,攻击者正是借助他们所劫持得到的这些域名来广泛发送含有恶意链接的电子邮件,以此进行非法广告收益。该恶意链接的下拉菜单设计了按钮,用户随手一点便会不知不觉地完成一连串的重定
    的头像 发表于 02-28 14:47 681次阅读

    N9H20 GPIO上电竟然是高电平,有没有办法解决?

    一直很纳闷,GPIO上电竟然是高电平。有没有办法解决,是不是要改动启动程序才能解决问题?
    发表于 01-17 08:27