重點(diǎn)關(guān)注
漏洞公告
惡意代碼
Diicot挖礦組織近期攻擊活動(dòng)分析
本報(bào)告由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)與安天科技集團(tuán)股份有限公司(安天)共同發(fā)布。
一、概述
近期,CNCERT和安天聯(lián)合監(jiān)測(cè)發(fā)現(xiàn)Diicot挖礦組織(也稱(chēng)color1337、Mexals)頻繁發(fā)起攻擊活動(dòng),境內(nèi)受害服務(wù)器已達(dá)600余臺(tái)。
Diicot挖礦組織在此次活動(dòng)中,Diicot挖礦組織在此次活動(dòng)中,以互聯(lián)網(wǎng)下暴露22端口的設(shè)備作為攻擊目標(biāo),使用SSH暴力破解工具實(shí)施入侵。成功后,根據(jù)設(shè)備CPU性能,利用托管網(wǎng)站下發(fā)不同載荷。當(dāng)設(shè)備性能較弱時(shí),從托管網(wǎng)站下載相應(yīng)工具和腳本,實(shí)施掃描和暴力破解進(jìn)行傳播;當(dāng)設(shè)備性能較強(qiáng)時(shí),下載挖礦程序進(jìn)行挖礦。
通過(guò)對(duì)攻擊者使用的C2資源進(jìn)行分析發(fā)現(xiàn),攻擊者于2022年10月13日至2023年5月27日期間不斷更新攻擊載荷,增加shc加密等手法以達(dá)成免殺的目的。跟蹤監(jiān)測(cè)發(fā)現(xiàn)2023年3月1日至今,境內(nèi)受害服務(wù)器(以 IP 數(shù)計(jì)算)累計(jì)600余臺(tái)。
表格 1 Diicot組織挖礦活動(dòng)概覽
二、攻擊流程
初始攻擊程序Payload執(zhí)行后,首先會(huì)清除主機(jī)中的全部定時(shí)任務(wù),并結(jié)束競(jìng)品挖礦木馬相關(guān)進(jìn)程,根據(jù)受害者主機(jī)CPU核數(shù)的不同執(zhí)行不同操作:
當(dāng)核數(shù)少于4核時(shí), Payload下載并運(yùn)行History,用以啟動(dòng)傳播程序Update,同時(shí)釋放“protocols”。Update運(yùn)行后會(huì)判斷運(yùn)行目錄是否存在名為“Chrome”、“aliases”、“protocols”的文件,若不存在,則下載“Chrome”、“aliases”文件并運(yùn)行。Chrome為L(zhǎng)inux端口掃描器,運(yùn)行后會(huì)掃描隨機(jī)網(wǎng)段中開(kāi)放22端口的設(shè)備,并將設(shè)備IP地址保存為“bios.txt”。aliases為SSH暴力破解工具,運(yùn)行后使用“protocols”文件中保存的95組賬號(hào)密碼,對(duì)bios.txt中記錄的IP地址,進(jìn)行SSH暴力破解。若成功暴力破解某臺(tái)設(shè)備,則會(huì)登錄該設(shè)備并執(zhí)行遠(yuǎn)程bash命令,用以結(jié)束競(jìng)品挖礦木馬進(jìn)程、下載并執(zhí)行初始攻擊程序payload。
當(dāng)核數(shù)大于或等于4核時(shí),Payload會(huì)執(zhí)行diicot,diicot為挖礦木馬的啟動(dòng)程序,用于下載并運(yùn)行挖礦程序Opera進(jìn)行挖礦,Opera為開(kāi)源挖礦組件xmrig。隨后,diicot會(huì)清除主機(jī)中的全部定時(shí)任務(wù),并結(jié)束競(jìng)品挖礦木馬進(jìn)程,創(chuàng)建名為“Example systemd service”的服務(wù)和多個(gè)定時(shí)任務(wù)來(lái)實(shí)現(xiàn)挖礦程序Opera持久化運(yùn)行。
圖1 攻擊流程圖
三、樣本功能與技術(shù)梳理
3.1 初始攻擊程序Payload
1. 初始攻擊程序Payload為SHC加密的BASH腳本,并使用修改后的UPX進(jìn)行壓縮保護(hù),后續(xù)載荷均使用該方法進(jìn)行壓縮加密。
2. 初始攻擊程序Payload運(yùn)行后會(huì)清除主機(jī)中的全部定時(shí)任務(wù),并結(jié)束競(jìng)品挖礦木馬相關(guān)進(jìn)程。
3. 根據(jù)受害者主機(jī)CPU核數(shù)的不同執(zhí)行不同操作:
當(dāng)核數(shù)少于4核時(shí), Payload下載并運(yùn)行傳播啟動(dòng)程序History,用以啟動(dòng)傳播程序Update,執(zhí)行傳播功能。
表格 2 惡意程序下載地址和說(shuō)明
表格 3 惡意程序下載地址
4.Payload修改主機(jī)root賬戶(hù)密碼,將新密碼回傳至攻擊者服務(wù)器。
5.若CPU占用率超過(guò)50%,則會(huì)結(jié)束所有CPU占用率超過(guò)40%的進(jìn)程。
6.攻擊者將自定義的SSH密鑰寫(xiě)入到主機(jī)中,用于SSH免密連接。
3.2 傳播程序Update
1.傳播啟動(dòng)程序History運(yùn)行后,執(zhí)行傳播程序Update。
2.Update運(yùn)行會(huì)修改系統(tǒng)的打開(kāi)文件數(shù)與用戶(hù)進(jìn)程數(shù)限制以保證后續(xù)代碼的順利執(zhí)行,隨后判斷運(yùn)行目錄是否存在名為“Chrome”、“aliases”、“protocols”的文件,若不存在則下載并運(yùn)行Linux端口掃描器Chrome和SSH暴力破解工具aliases。
表格 4 惡意程序下載地址和說(shuō)明
3.Update創(chuàng)建多個(gè)定時(shí)任務(wù),實(shí)現(xiàn)持久化。
1)每天運(yùn)行一次傳播啟動(dòng)程序History
2)開(kāi)機(jī)啟動(dòng)Update
3)每分鐘、每月定時(shí)啟動(dòng)Update
圖2 Update創(chuàng)建多個(gè)定時(shí)任務(wù)
4.執(zhí)行Linux端口掃描器Chrome程序,掃描隨機(jī)網(wǎng)段中開(kāi)放22端口的設(shè)備,并將設(shè)備IP地址保存為“bios.txt”。
5.SSH暴力破解工具aliases運(yùn)行后,使用“protocols”文件中保存的95組賬號(hào)密碼,對(duì)bios.txt中記錄的IP地址,進(jìn)行SSH暴力破解。其還具備信息回傳、遠(yuǎn)程命令執(zhí)行功能。aliases運(yùn)行后向攻擊者服務(wù)器回傳目標(biāo)主機(jī)地址、系統(tǒng)信息、用戶(hù)名、登陸密碼等數(shù)據(jù)。
6.若成功暴力破解某臺(tái)設(shè)備,則會(huì)登錄該設(shè)備執(zhí)行遠(yuǎn)程bash命令,該命令用于清理結(jié)束競(jìng)品挖礦木馬相關(guān)進(jìn)程、下載并執(zhí)行初始攻擊程序。
7.在成功進(jìn)行暴力破解后,回傳受害者主機(jī)信息。其中,回傳數(shù)據(jù)包括目標(biāo)主機(jī)地址、系統(tǒng)信息、用戶(hù)名、登陸密碼等。
3.3 挖礦程序Opera
挖礦啟動(dòng)程序diicot運(yùn)行后創(chuàng)建“/var/tmp/.ladyg0g0/.pr1nc35”目錄,并檢查該目錄中是否存在挖礦程序Opera和配置文件,若不存在則下載,該挖礦程序?yàn)殚_(kāi)源挖礦組件xmrig。
表格 5 惡意程序下載地址和說(shuō)明
挖礦啟動(dòng)程序diicot會(huì)清除主機(jī)中的全部定時(shí)任務(wù),并結(jié)束競(jìng)品相關(guān)進(jìn)程,執(zhí)行挖礦程序Opera。隨后通過(guò)以下兩種方式實(shí)現(xiàn)持久化:
1. 創(chuàng)建名為“Example systemd service”的服務(wù),每隔一小時(shí)檢測(cè)一次Opera的運(yùn)行狀態(tài),若停止運(yùn)行則重新啟動(dòng),保證挖礦程序的持續(xù)運(yùn)行。
2.diicot創(chuàng)建多個(gè)定時(shí)任務(wù),實(shí)現(xiàn)持久化。
1)每天運(yùn)行一次挖礦啟動(dòng)程序diicot
2)開(kāi)機(jī)啟動(dòng)挖礦啟動(dòng)程序diicot
3)每分鐘、每月定時(shí)啟動(dòng)挖礦啟動(dòng)程序diicot
圖 3 diicot創(chuàng)建多個(gè)定時(shí)任務(wù)
四、挖礦木馬落地排查與清除方案
4.1 挖礦木馬落地識(shí)別
文件名:
/var/tmp/Documents/.diicot
/var/tmp/Documents/Update
/var/tmp/Documents/History
/var/tmp/Documents/Opera
/var/tmp/Documents/config.json
/usr/bin/.locatione
/usr/bin/sshd
/var/tmp/Documents/aliases
/var/tmp/Documents/Chrome
/lib/systemd/system/myservice.service
/var/tmp/Documents/.5p4rk3l5
/var/tmp/.update-logs/.5p4rk3l5
網(wǎng)絡(luò)側(cè)排查
arhivehaceru.com(攻擊者服務(wù)器)
45.88.67.94(攻擊者服務(wù)器)
45.88.67.94:7777(礦池)
139.99.123.196:80(礦池)
pool.supportxmr.com:80(礦池)
服務(wù)執(zhí)行路徑
[Unit]
Description=Example systemd service.
[Service]
Type=simple
Restart=always
RestartSec=3600
ExecStart=/bin/bash /usr/bin/sshd
[Install]
WantedBy=multi-user.target
進(jìn)程名稱(chēng)
Opera
4.2 清除方案
1. 結(jié)束挖礦進(jìn)程
結(jié)束名為“Opera”且占用率高的進(jìn)程
2. 刪除服務(wù)
rm -rf /lib/systemd/system/myservice.service
3.刪除定時(shí)任務(wù)
rm -rf /var/tmp/Documents/.5p4rk3l5
rm -rf /var/tmp/.update-logs/.5p4rk3l5
4. 刪除惡意文件
rm -rf /var/tmp/Documents/.diicot
rm -rf /var/tmp/Documents/Update
rm -rf /var/tmp/Documents/History
rm -rf /var/tmp/Documents/Opera
rm -rf /var/tmp/Documents/config.json
rm -rf /usr/bin/.locatione
rm -rf /usr/bin/sshd
rm -rf /var/tmp/Documents/aliases
rm -rf /var/tmp/Documents/Chrome
rm -rf /lib/systemd/system/myservice.service
rm -rf /var/tmp/Documents/.5p4rk3l5
rm -rf /var/tmp/.update-logs/.5p4rk3l5
五、感染規(guī)模
通過(guò)監(jiān)測(cè)分析發(fā)現(xiàn),國(guó)內(nèi)于2023年3月1日至5月31日期間該挖礦木馬日上線(xiàn)數(shù)最高達(dá)到200余臺(tái),累計(jì)已有600余臺(tái)設(shè)備受其感染。每日境內(nèi)上線(xiàn)數(shù)情況如下。
圖 4 每日上線(xiàn)境內(nèi)數(shù)量
六、防范建議
請(qǐng)廣大網(wǎng)民強(qiáng)化風(fēng)險(xiǎn)意識(shí),加強(qiáng)安全防范,避免不必要的經(jīng)濟(jì)損失,主要建議包括:
1)加強(qiáng)口令強(qiáng)度,避免使用弱口令,密碼設(shè)置要符合安全要求,并定期更換。建議使用16位或更長(zhǎng)的密碼,包括大小寫(xiě)字母、數(shù)字和符號(hào)在內(nèi)的組合,同時(shí)避免多個(gè)服務(wù)器使用相同口令;
2)及時(shí)更新補(bǔ)丁,建議開(kāi)啟自動(dòng)更新功能安裝系統(tǒng)補(bǔ)丁,服務(wù)器應(yīng)及時(shí)更新系統(tǒng)補(bǔ)丁;
3)及時(shí)更新第三方應(yīng)用補(bǔ)丁,建議及時(shí)更新第三方應(yīng)用如WebLogic等應(yīng)用程序補(bǔ)丁;
4)開(kāi)啟日志,開(kāi)啟關(guān)鍵日志收集功能(安全日志、系統(tǒng)日志、錯(cuò)誤日志、訪問(wèn)日志、傳輸日志和Cookie日志),為安全事件的追蹤溯源提供基礎(chǔ);
5)安裝終端防護(hù)軟件,定期進(jìn)行全盤(pán)殺毒;
6)當(dāng)發(fā)現(xiàn)主機(jī)感染挖礦程序后,立即核實(shí)主機(jī)受控情況和入侵途徑,并對(duì)受害主機(jī)進(jìn)行清理。
七、相關(guān)IOC
45.88.67.94
45.139.105.222
212.193.30.11
arhivehaceru.com
52CB6682849AE2978B6F07EC98DC550A
946689BA1B22D457BE06D95731FCBCAC
8CD22AE52EF7ADA0C6BDE9CBEDC992E1
0874C80875045B0F40B9D2A2FBAC1BBC
7B0DFEE24D9807D2ACA8FDC9E5E1AA0D
C9B7A680754497A2A681FA0F55636FEC
C689456EED1C848302797E3299CC8373