企业动态

6月17日，安服应急响应团队接到某政企用户的应急响应请求，客户服务器存在被种植挖矿木马病毒程序，态势感知出现病毒告警，要求对服务器后门进行排查，对攻击来源进行追溯。

应急响应人员抵达现场后进行排查，发现有38台服务器受到SystemdMiner挖矿木马最新变种病毒感染，且存在内网横向传播，截至6.24晚23点累计发现被感染主机多达69台，严重影响业务系统的正常运行。形式比较严峻，经过短暂的内部商讨，安服负责人当即组织团队，组成应急小组，对该政府单位进行大面积排查。

6月17日-6月24日，应急小组通过近一周的现场排查，成功溯源并复现了攻击者的攻击路径，并对客户网络存在的安全弊端给出了安全建议。

下面具体分享团队客户现场排查历程和溯源发现攻击者攻击手法，可供大家参考、学习。

分析排查历程：

6月17日，登陆多台机器进行排查发现，系统中存在多个病毒文件无法直接删除，并且会添加定时任务和守护进程，保证病毒一直处于运行状态，确认该病毒为SystemdMiner挖矿木马最新变种。

6月18日，排查发现大部分受感染的机器为Hadoop机器。低版本的Hadoop存在未授权漏洞会导致远程命令执行漏洞。

6月19日，对病毒样本进行分析发现病毒传播方式进行分析，经分析传播方式有以下几种方式：

　a) 利用consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令漏洞入侵主机。

　b) 利用自动化运维工具(salt/ansible/chef-knife)横向传播。

　c) 利用失陷主机本地保存的 SSH 密码、密钥传播自身。

6月20日，登陆多台受感染机器查看日志发现大量的机器存在爆破其他机器的痕迹、也发现大量的机器被爆破成功，有登录成功日志。在溯源中也发现一些机器存在弱口令的情况，以及不同的机器使用相同密码的情况。

6月21日-6月23日重点分析SSH的登录日志，找到最早开始SSH爆破的机器并发现该机器上面安装了frp，并在另外四台服务器中发现也被安装了frp，攻击者使用Frp工具用来进行流量转发，将内网的端口、流量转发到互联网上面。

6月24日再次通过hadoop的未授权访问进行测试时，已经成功复现漏洞，并在分析相关日志中发现，Hadoop的管理端口在6月23日修改成了28088。

溯源攻击手法：

1)    攻击者利用客户现场已存在漏洞的堡垒机和官网服务器，作为跳板机，对IDC机房天玑服务器进行FRP反向代理工具反弹主机SHELL，并获得主机控制权限。

2)    攻击者利用已拿到的服务器权限，上传SystemdMiner挖矿木马程序，并配置计划任务，定时连接矿池域名，挖矿程序本身具有自动扫描与自传播功能，同时开展内网的横向感染。

3)    攻击者利用consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令漏洞入侵IDC机房其它主机操作系统。

4)    攻击者利用自动化运维工具(salt/ansible/chef-knife)横向传播。

5)    攻击者利用失陷主机本地保存的 SSH 密钥传播。

在排查过程中，应急小组人员通过清除可疑计划任务，结束守护进程，删除木马创建的密钥认证文件和挖矿木马脚本程序，修复漏洞等一系列操作对服务器、主机系统进行了全面消杀，并且利用机房现有安全防护设备，针对本次捕捉到的挖矿木马矿池恶意域名安全策略进行双向访问控制，禁止内网访问外网矿池域名，禁止外网矿池域名访问内网服务器IP地址，为客户机房做了清理和保护两种措施，并为客户提出以下安全建议：

1)    落实日常设备安全巡检工作。

2)    加强安全运营监控力度，针对告警事件分析研判与处置。

3)    优化主机、网络安全设备安全策略。

4)    如非必须禁止内网服务器出外网。

5)    服务器主机操作系统启用密码策略，规避设置弱口令与防范口令暴力破解。

6)    将安全监测系统已检测到的矿池相关非法域名，通过安全防护设置将其加入黑名单列表，并将安全策略设置为阻断访问。