freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

深度分析 | ZEPH挖矿木马内网横向移动传播
2024-07-28 19:19:17

一、背景

近期监测到Linux下挖矿攻击事件,攻击者通过masscan扫描工具对内网网段和特定端口进行扫描,利用22端口内网ssh爆破和“永恒之蓝”漏洞进行内网横向传播,利用kexec本地提权漏洞(CVE-2021-4034)进行提权,成功利用此漏洞允许任何非特权用户在易受攻击的主机上获得 root 特权,达到植入挖矿木马获利的目的。

二 样本介绍

样本信息:

样本MD5

样本文件名

说明

c9ba886**********************c971b74

1.sh

探测扫描内网目标

c2dca97**********************18c23ce3

cve-2021-4034

cve-2021-4034漏洞提权

c8934f8***********************7f9e6c

in.sh

下载sshd.sh 脚本

cee5e01***********************edf387

sshd.sh

执行挖矿程序

挖矿木马的恶意服务器上存放Linux挖矿有关样本,如下:

、样本分析

1、sh样本

攻击者利用masscan工具对172.x.x.x、10.x.x.x 和 192.x.x.x 网段进行扫描,指定扫描端口为22、135、445,并且指定扫描速率为10000,将每次扫描结果保存到(RESULTS_172.xml、RESULTS_10.xml 和 RESULTS_192.xml)文件中。扫描网段均为内网IP网段,通过扫描端口可知该攻击者通过22端口内网ssh爆破传播挖矿木马、利用“永恒之蓝”漏洞在内网传播挖矿木马。

图3‑1 探测扫描脚本

2、in.sh样本

该脚本的功能是下载了名为 sshd.sh 的文件,并将其保存到 /tmp 目录,给sshd.sh 文件添加了可执行权限,运行名为 sshd.sh 的脚本文件。

图3‑2下载挖矿木马

脚本将生成一个名为 sshdabc.service 的 Systemd 服务单元文件,并将其保存到 /etc/systemd/system/ 目录中。该服务单元文件的内容如下:

[Unit]

Description=Start ABC

After=network.target


[Service]

ExecStart=/tmp/sshd.sh


[Install]

WantedBy=multi-user.target

并创建了一个 Systemd 服务单元,确保脚本在系统引导时自动运行。

3、sshd.sh样本

这段脚本的主要目的是解码并执行一个挖矿程序,将其设置为在后台持续运行。主要是进行挖矿程序的设置和执行。该脚本将一段经过 base64 编码的字符串解码后存储到 /tmp/abc 文件中。使用 chmod +x "$TMP_BINARY" 给下载的文件添加了可执行权限。通过 nohup 命令以及输出重定向,使得该程序在后台运行,并且不受终端关闭的影响。

图3‑3 提取挖矿木马

图3‑4 执行挖矿木马

挖矿信息如下

矿池地址:103.**.**.188:1123

用户名:ZEPHs8LLn8b4JL3UAZs9LYXZ7FZpFTS4qetvcxUWHYXQ7D4EBLKcJv98oyrxQwvykDZXDfhj2ziVeQ9xeeRNAxv91HwH2qKyS4N

收益:0.484215 ZEPH

图3‑5 ZEPH挖矿状态

图3‑5 ZEPH挖矿收益

图3‑6 挖工相关信息

四、解决方案

1、手动清除挖矿木马,删除病毒体rm -rf /tmp/sshd.sh,rm /tmp/abc

2、手动清除开机自启动,rm -rf /etc/systemd/system/sshdabc.service

3、排查内网弱口令和永恒之蓝漏洞并修复。

五、相关IOC

MD5

c9ba886**********************c971b74
c2dca97**********************18c23ce3
c8934f8***********************7f9e6c
cee5e01***********************edf387

C2

103.**.**.188:1123

URL

http://154.**.**.78/1.sh

http://154.**.**.78/cve-2021-4034

http://154.**.**.78/ in.sh

http://154.**.**.78/ sshd.sh

# 黑客 # 网络安全 # 内网渗透
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录