0 × 0 arka plan
Kısa süre önce Sangforun güvenlik ekibi, bir müşterinin yerel güvenlik farkındalığı alarmı alarak kötü niyetli bir CC erişim bağlantısı alarmı istedi. Down.mys2018.xyz kötü amaçlı alan adına 1057 kez ve my2018.zxy'ye 490 kez erişildi. Ana bilgisayar doğrudan zaten olarak işaretlendi Kaybolan, çok sayıda anti-virüs yazılımı kontrolü ve öldürülmesinden sonra herhangi bir anormallik tespit edilmedi.Takip incelemeler sonucunda sunucunun Myking grubu ile ilgili büyük bir güvenlik riski taşıdığı tespit edildi.
0 × 1 Genel durum
Çok yönlü analiz, müşterinin yerel alanında çok sayıda kötü amaçlı komut dosyası ve virüs dosyası bulunduğunu ortaya çıkarmıştır. Olguya göre, tarama ve günlük analizi, bazı işlem belleğinin analizi ile birlikte, birden çok algılama, birden çok kötü amaçlı izinsiz girişin güvenlik olayları olarak tanımlanmaktadır.
0 × 2 işlem kontrolü
İşlemde çok sayıda kötü amaçlı wscript.exe işlemi bulundu. İşlem sayısı yaklaşık 30 arama idi, tümü En yüksek otorite Sistem komutu aracılığıyla C: \ users \ public \uments \ 1.vbs parametre dosyasının yürütme komut dosyasını çağırın ve işlemin ana işlemi, yerel olarak çalışan sqlserver.exe veritabanı işlemidir.
1.vbs içeriğini açın ve kodu analiz edin.Bu betiğin, sanal madencilik yapmak için yerel wscript.exe'yi çağırarak İnternet'ten zararlı madencilik bileşenlerini indiren bir program olduğu bulundu.
Temel kod aşağıdaki gibidir:
URL yolu:
powered.exe madenciliğin ana sürecidir ve config.json, madencilik için yapılandırma dosyasıdır; daha önce analiz edilen benzer dosyalar burada tanıtılmayacaktır.
0 × 3 başlangıç öğeleri
Başlatma projesinin incelenmesi sırasında fuckyoumm2_consumerde adlı bir WMI projesi de bulundu:
Başlangıç içeriği şu şekildedir: içeriği adresinden indirin ve belirtilen yolun altına C: \ windows \ ps.exe olarak kaydedin ve çalıştırın:
Kayıt defterindeki başlangıç öğesinde olağandışı bir clean.vbs öğesi bulundu:
İçeriğin analizi yoluyla, bunun redis saldırısı için bir yük olduğu bulundu:
Kayıt defterini kontrol ettikten sonra önünüzde garip bir yarasa dosyası belirdi, yol:
C: \ windows \ system32 \ wbem \ 123.batAna içerik aşağıdaki gibidir: Ana işlevler ayrıca uzak siteden indirilir ve yürütülür:
0 × 4 saldırı kaynağı izleme
Sqlserver incelemesi sonucunda veritabanının internetten kaba kuvvet kırma saldırılarına maruz kaldığı tespit edilmiştir.Ana kullanıcı sa olup xp_shell işlevi açılmıştır.Kayıt eksikliğinden dolayı belirli bir zamanda açıldığını teyit etmek geçici olarak imkansızdır.
Aynı zamanda web sistemi dizini altında sqzr.jsp adıyla çok işlevli bir Malezya web kabuğu bulundu.Yükleme tarihi 6 Haziran 2018 idi.
Hacker tarafından yüklenen SSH giriş anahtarı da redis dizini altında bulundu.Bu işlemin 6 ay olduğu söylenebilir, bu bir windows sistemidir.
Lokal port açılma durumu kontrol edilerek redis işleminin daha fazla haberleşmeyi sürdürdüğü, aynı zamanda konfigürasyon dosyası kontrol edilerek yetkili erişimin etkin olmadığı tespit edilmiştir.
0 × 5 temizleme
1. Sistem dizinindeki 1.vbs 123.bat clean.vbs gibi kötü amaçlı komut dosyalarını silin;
2. Web sistem dizinindeki helloworld.jar dosyasını ve helloworld dizinindeki webshell arka kapısını silin;
3. Bilgisayar korsanı tarafından yüklenen kök dosyayı silin;
4. fuckyoumm2_consumerde, clean.vbs, 123.bat'ın önyükleme başlangıç öğelerini silin.
0 × 6 güçlendirme ve öneriler
1. Redis erişim şifresini ekleyin ve aynı zamanda redis erişim kontrolünü ayarlayın;
2. Openfire'ın güvenlik açıklarını düzeltin ve en son sürüme yükseltin veya yama paketini güncelleyin;
3. Güçlü parola politikaları ve erişim kontrol politikaları belirlemek ve xp_shell'in tehlikeli komut yürütme işlevini kapatmak için sqlserver güvenlik takviyesi ekleyin;
4. Sangfor EDR ürünleri, yeni nesil güvenlik duvarları ve diğer güvenlik ürünleri virüs algılama yeteneklerine sahiptir ve ilgili ürünleri kullanan kullanıcılar virüs algılama gerçekleştirebilir. Bunların arasında EDR ürünleri, Sangfor'un yapay zeka kendi kendine öğrenme yoluyla bilinmeyen tehditleri otomatik olarak tanıyan ve herhangi bir yükseltme yapmadan virüslerin en yeni varyantlarını bağımsız olarak algılayıp öldürebilen SAVE akıllı güvenlik algılama motorunu kullanıyor.
* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin