Yakın zamanda, Sangforun güvenlik ekibi genel bulut ve harici Linux sunucularında / tmp geçici dizinindeki bekçi dosyalarının varlığı, anormal crontab görevleri, ağ anormallikleri, sistem dosyalarının silinmesi ve anormal CPU durmalarıyla ortaya çıkan çok sayıda izinsiz girişi izledi. Kullanıcı işini ciddi şekilde etkiler. Pek çok kullanıcı Sangfor'u güvenlik uzmanlarını uzaktan araştırmalar yapmaya davet etti. Analizden sonra, sonunda kullanıcının Linux sunucusuna yeni bir tür kötü niyetli madencilik solucanı yerleştirildiği doğrulandı ve temizlenmesi zordu.
Sangfor güvenlik ekibi, WatchDogsMiner adını verdi ve kurumsal kullanıcılara WatchDogsMiner madencilik solucanını önlemek için zamanında kendi kendine inceleme ve onarım yapmalarını hatırlatmak için bir acil durum uyarısı yayınladı.
Virüs adı : WatchDogsMiner
Virüs doğası : Madencilik Solucanı
Etki alanı : Genel bulut kullanıcıları da dahil olmak üzere Çin'deki birçok kullanıcıya virüs bulaştı
Tehlike seviyesi : Yüksek risk
Yayılma modu : Redis'e yetkisiz erişime dayalı, dahili ve harici ağların solucan benzeri yayılmasını sağlamak için entegre SSH patlaması.
0 × 01 Zehirli olup olmadığı nasıl doğrulanır
Sunucu terminalini kontrol edin ve yaygın olarak kullanılan bazı komutların silindiğini ve bulunamadı komutunun göründüğünü bulun:
Yetkili_keys dosyası boşaltılır ve şifresiz oturum açma kullanılamaz:
İlgili bildirim e-postaları, sistemin yerleşik posta kutusunda da görünür. Zamanlanmış görevlerin ve ilgili komutların bildirimlerini kontrol edin:
Zamanlanmış görevin ilgili yolunda bir kök zamanlanmış görev bulundu:
kullanım Sangfor Güvenlik Algı Platformu Güvenlik bilinci platformu, kullanıcıları için sanal para madenciliği, veritabanı taraması, SSH kaba kuvvet kırma gibi birden çok güvenlik olayının ana bilgisayarını aktif olarak uyarır:
0 × 02 virüs analizi
WatchDogsMiner bir bütün olarak daha karmaşıktır Virüs matrisi pastebin.com/raw/sByq0rym'den bir sh betiğidir;
Sh betiği esas olarak iki işlem gerçekleştirir, ana bilgisayar ortamını temizler ve ardından madencilik virüsünü indirip çalıştırır;
Madencilik virüsü, thyrsi.com/t6/672/1550667479 × 1822611209.jpg adresinden indirilen bir elf dosyasıdır;
Madencilik virüsü Go dilinde yazılmıştır.Virüs SSH ve Redis'e yetkisiz erişim yoluyla yayılır ve ardından bir arka plan programı süreci şeklinde mayın çıkarır. Madencilik para birimi Monero'dur.
WatchDogsMiner madencilik zehir analizi
WatchDogsMiner virüs programı, Go dilinde yazılmış bir elf dosyasıdır.Program, ağ iletişim modülleri, şifreleme algoritmaları, Redis saldırıları, SSH kaba kuvvet kırma ve madencilik gibi kendi kendine uygulanan işlevleri içerir.
Ayrıntılı analiz şu şekildedir:
Pastebin'e kaydedilen üst betiği başlatın ve yürütün:
Madencilik modülünü / tmp / ksoftirqds'a yazın ve çalıştırın.
Redis saldırı modülü:
SSH kaba kuvvet kırma modülü:
Ana betiğin işlev analizi
Bağlantıyı düzenli olarak belirtin, ana komut dosyasını yürütün ve diğer madencilik işlemlerini sonlandırın:
Çalıştırılması gereken dizin özniteliklerini değiştirin, zamanlanmış görevleri ve hizmetleri silin ve virüsle ilgili işlemleri ve dosyaları faturaları temizleyin:
Madencilik Truva Atı'nı güncelleyin:
Son olarak temizleyin:
0 × 03 çözüm
WatchDogsMiner virüs temizliği:
1. Kötü amaçlı dinamik bağlantı kitaplığını /usr/local/lib/libioset.so silin;
2. Crontab'daki anormal öğeleri temizleyin ve kötü amaçlı görevleri silin (değiştiremiyorsanız, önce 4-a yürütün);
3. Madencilik sürecini sonlandırmak için kill komutunu kullanın;
4. Kalan virüs dosyalarını kontrol edin ve temizleyin;
a.chattr -i / usr / sbin / watchdogs /etc/init.d/watchdogs/var/spool/cron/root /etc/cron.d/root
b.chkconfig watchdogs kapalı
c.rm -f / usr / sbin / watchdogs /etc/init.d/watchdogs
5. Netstat gibi ilgili sistem komutları virüs tarafından silinebilir.Yükleme ve geri yükleme tavsiye edilir;
6. Dosya salt okunur olduğundan ve ilgili komutlar bağlı olduğundan, busybox kurmanız ve silmek için busybox rm komutunu kullanmanız gerekir;
7. Bazı işlemlerin etkili olması için makinenin yeniden başlatılması gerekir.
WatchDogsMiner virüs savunması:
1. Redis için parola doğrulaması ekleyin; Redis'e harici ağ erişimini yasaklayın; Redis hizmetini düşük izinlerle çalıştırın. (Etkili olması için Redis'i yeniden başlatın.)
2. Hesap parolasını değiştirin, güçlü bir parola belirleyin ve birleşik bir parola kullanmaktan kaçının çünkü birleşik bir parola, birinin güvenliğinin ihlal edilmesine ve birçok kişinin zarar görmesine neden olur.
3. Sangfor'un yeni nesil güvenlik duvarı ve terminal algılama yanıt platformu (EDR) patlama önleme işlevlerine sahiptir. Yeni nesil güvenlik duvarları bu işlevi etkinleştirir ve 11080051, 11080027, 11080016 kurallarını etkinleştirir ve EDR, savunma için patlamaya dayanıklı işlevi etkinleştirir.
4. Yeni nesil güvenlik duvarı müşterileri bizi ikna etti, en iyi savunma etkisini elde etmek için AF805 sürümüne yükseltmemiz ve SAVE güvenlik akıllı algılama motorunu etkinleştirmemiz önerilir.
Son olarak, korumayı güçlendirmek için şirketlerin tüm ağ üzerinde bir güvenlik kontrolü ve antivirüs taraması yapması önerilir. İntraneti algılamak, tespit etmek, öldürmek ve korumak için Sangfor Security Perception Platform + Next Generation Firewall + EDR kullanılması önerilir.
* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin