安全事件响应观察报告及其变种
生活随笔
收集整理的這篇文章主要介紹了
安全事件响应观察报告及其变种
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
挖礦事件典型案例
利用組件漏洞挖礦
2018 年初,綠盟科技應急響應團隊持續接到來自金融、衛生、教育等多個行業客戶的安全事件
反 饋,發現多臺不同版本 WebLogic 主機均被植入了相同的惡意程序,該程序會消耗大量的主機 CPU資源。 經過對捕獲到的攻擊代碼進行分析,發現這是一次針對 WebLogic 的 wls-wsat 組件漏洞(CVE-2017- 10271)進行遠程代碼執行的大范圍攻擊。2. 處置過程
被感染主機 tmp 目錄下均存在可執行文件 watch-smartd 或 Carbon,通過分析上述文件均為不同 版本的虛擬幣挖礦程序 cpu
miner,因此運行后會大量消耗服務器 CPU 及內存資源;該挖礦程序不存在 維持進程和復活功能,但在清除后又會不定期出現。收集信息得知挖礦程序的所屬用戶和運行用戶與 WebLogic 的運行用戶相同。查看發現 watch- smartd 進程的父進程為 WebLogic。由此可以確定該事件與 WebLogic 漏洞有關。
通過對感染主機抓包捕獲攻擊代碼以及 WebLogic 日志分析,證實攻擊者是利用 WebLogic wls- wsat 組件遠程代碼執行
漏洞(CVE-2017-10271)下載并運行挖礦程序。排查過程可參考下圖:
圖 7 入侵過程
首先攻擊者通過該漏洞執行 curl 命令,下載名為 setup-watch 的 shell 腳本,其作用為下載并運行 最終的挖礦程序。該 shell 腳本中定義了挖礦程序的下載地址、下載方式、保存路徑、運行參數等。
通過對服務器上的樣本程序進行分析,綠盟安全人員發現 watch-smartd 或 Carbon 為同一挖礦程序 程序的不同版本。攻擊者主要利用該程序挖取在黑市流通的 XMR(門羅幣),其對外連接的礦池域名為: minexmr.com、minergate.com。
從主機層面可通過監控主機系統資源或進程分析方式進行檢測,從網絡層面可對 C&C地址及礦池 相關域名 /IP 進行監控,以發現其他受感染主機。
針對 Linux主機,首先查看 /tmp 目錄中是否存在屬主為 watch-smartd、Carbon、default。
通過進程及系統資源分析,確認是否存在啟動用戶為
漏洞修復及驗證:
WebLogic 運行賬戶的相關可疑文件,如: WebLogic 運行的相關可疑進程。
T3 協議的 WebLogic 主機,若非業務需要,
圖 8 檢測 T3 協議
重啟 WebLogic 后,通過 console 端口(T3 協議)訪問
wls-wsat,驗證響應狀態碼是否為 404。
Oracle 官方發布的 2017 年 10 月份
的補丁中修復,即安裝了最新補丁的主機將不受此次攻擊影響,但還是存在大量的主機被入侵。這表明 很多企業對于網絡安全建設的長期忽,對已知高風險漏洞的不重,才會大量爆發 WebLogic 挖礦事 件而付出慘痛代價。漏洞一旦存在,就隨時可能被不法分子利用,甚至會導致重大資產的損失和承擔法
律責任。
目前黑色產業鏈中利用已知 1Day 或 NDay 攻擊服務器,謀取利益的事件越來越多。企業應該重 并全面提升自身系統的安全性,從而保障業務順暢運行,也保護用戶信息安全。
4.2.1.5 專家建議
及其變種
2018 年,綠盟科技應急響應團隊持續接到 WannaMine 挖礦的事件反饋。該蠕蟲感染計算機后會向 計算機中植入挖礦病毒,導致電腦資源被大量占用,無法正常運行,危害巨大。但至今仍有大量主機未 安裝安全補丁,導致被后續的 Wanna 系列變種病毒感染。
2018 年 3 月,WannaCry 勒索病毒出現變種,WannaMine 挖礦病毒誕生。
2018 年 5 月,WannaMine 出現變種(WannaMine2.0)。
2018 年 11 月,WannaMine2.0 再次出現變種(WannaMine 3.0)。
在局域網內,WannaMine 家族利用 SMB協議漏洞,快速橫向擴散。WannaMine 家族 2.0、3.0 變種, 加入了一些免殺技術,傳播機制與 WannaCry 勒索病毒一致。
WannaMine 病毒使用“永恒之藍”漏洞入侵服務器,然后植入挖礦程序,并掃描同網段主機傳播漏洞。 特征圖如下:
圖 9 :病毒特征
WannaMine 病毒攻擊傳播過程:
WannaMine 病毒每攻陷一臺服務器,都將重復以上步驟。攻擊過程如下圖:
圖 10 :攻擊過程
事件排查—網絡層:
通過出口防火墻或其他類似安全設備,對相關的后門域名、挖礦域名及 Kill Switch域名(www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com)請求進行監測,以發現內部其他感染主機。
部分域名信息如下:
表 8 部分域名信息
|序號|域名|域名解析地址|
事件排查—主機層:
Tpmagentservice(WannaMine1.0 服務) wmassrv(WannaMine2.0 服務)
snmpstorsrv(WannaMine3.0 服務)
WannaMine1.0 目錄: ? C:\Windows\SecureBootThemes
WannaMine2.0 目錄:
WannaMine3.0 目錄:
\4. 相關文件包括:
C:\Windows\system32\tpmagentservice.dll(WannaMine1.0 相關) C:\Windows\system32\TrustedHostServices.exe(WannaMine1.0 相關) C:\Windows\System32\MsraReportDataCache32.tlb(WannaMine1.0 相關) C:\Windows\system32\wmassrv.dll(WannaMine2.0 相關) C:\Windows\system32\EnrollCertXaml.dll(WannaMine2.0 相關) C:\Windows\system32\HalPluginsServices.dll(WannaMine2.0 相關) C:\Windows\system32\snmpstorsrv.dll(WannaMine3.0 相關) C:\Windows\system32\trustedhostex.exe(WannaMine3.0 相關) C:\Windows\system32\marstracediagnostics.xml(WannaMine3.0 相關)
從主機層面可通過監控主機系統資源或進程分析方式進行檢測。
從網絡層面可對 C&C地址及礦池相關域名 /IP 進行監控,以發現其他受感染主機。 漏洞修復及病毒清理:
手動清理
清理腳本
針對 Wanna 系列病毒,可以使用綠盟科技 WannaMine 清理腳本進行清理。
微軟官方在 2017 年 3 月 14 日公布了 MS17-010 的安全公告,但如今 Wanna 系列勒索、挖礦蠕蟲 病毒入侵事件仍然在各大行業時有發生。這說明企業對于已知漏洞攻擊還抱有僥幸心理或者安全意識不 足,認為一段時間之后不會發生此類安全事件,放警惕;然而漏洞一旦存在,就隨時可能被不法分子 利用,甚至會出現變種病毒或者其他新的利用方式。
目前利用已知 1Day 或 NDay攻擊服務器、謀取非法利益的事件越來越多,主要利用方式有數據竊取, 勒索,挖礦,發起 DDoS攻擊等。企業應該重視并全面提升自身系統的安全性,從而保障業務順暢運行, 也保護用戶信息安全。
參考資料
綠盟 綠盟科技安全事件響應觀察報告
友情鏈接
河南省國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要 2021
總結
以上是生活随笔為你收集整理的安全事件响应观察报告及其变种的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: LeetCode 807. 保持城市天际
- 下一篇: 学习《码农翻身》之精进