應急響應系列之OA被入侵挖礦分析報告

2019-06-21 329974人圍觀 ,發現 14 個不明物體 網絡安全

一 基本情況

1.1  簡要

此事件是去年應急處置時完成的報告,距今有半年時間了。一直存在電腦里,最近準備完善應急響應中遇到的各類安全事件,這篇文章作為這一系列的開端。

對于 Linux 安全檢查,個人上段時間寫了個 shell 用于一鍵進行 Linux 安全檢查,本文對 Linux 的檢查使用相關腳本均可實現,相關鏈接如下:

https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ

https://github.com/T0xst/linux

1.2 情況簡介

2018 年 11 月 8 日,我司「捕影」應急響應小組接到駐場團隊反饋,某用戶 OA 被 360 瀏覽器提示「網站存在數字貨幣挖礦行為」,我司應急響應小組進行分析后確認為真實事件,隨后進行黑客入侵分析。

1.3 應急結果

經過分析,判斷此次事件為黑客惡意攻擊所致,經過安徽三實「捕影」應急響應小組的分析,目前得到以下結論:

1.  此 OA 為某用戶老的 OA,因為需要使用其數據才臨時啟用。

2.  此服務器對應內部 IP 為 10.134.1.76,目前對互聯網僅開放其 6001 端口,22 端口只能通過內部訪問;目前僅對互聯網開放 6001 端口。

3.  系統賬號正常

4.  網絡連接情況正常

5.  開放端口過多,建議禁用非業務端口

6.  定時任務發現歷史 (2018 年 10 月 29 日至 2018 年 11 月 8 日) 曾定時下載挖礦程序

7.  歷史命令分析歷史曾下載挖礦程序

8.  啟動項正常

9.  系統層面未發現病毒、木馬、后門

10. 因為其 OA 日志僅保存 2018 年 11 月 13 日至 2018 年 11 月 14 日,黑客植入挖礦程序在 2018 年 11 月 8 號及以前,無相關日志,無法分析黑客入侵的途徑。

11. 目前追溯到 2018 年 10 月 29 日已被植入挖礦程序;2018 年 11 月 8 日或更早被植入 JS 代碼進行挖礦

12. 未保存黑客攻擊時 web 應用的相關日志,無法通過日志分析黑客入侵的方式,但是 webgloic 相關版本存在較多高危漏洞,推測利用 weblogic 漏洞入侵的可能性較大。

二 分析過程

下面將針對此次應急處置的過程做大致的闡述。

2.1 入侵現象

2018 年 11 月 8 日,我司「捕影」應急響應小組接到駐場團隊反饋,某用戶 OA 被 360 瀏覽器提示「網站存在數字貨幣挖礦行為」,具體情況如下所示:

圖 1-360 瀏覽器提示 OA 系統「網站存在數字貨幣挖礦行為」

 2.2 挖礦驗證

360 瀏覽器提示「網站存在數字貨幣挖礦行為」, 說明可能存在相關行為。我司應急響應人員對其網站源碼分析,發現頁面有多處加載 JS 的行為,通過對加載的 JS 逐一分析,發現有一處 JS 有可疑。

圖 2-OA 加載 JS 腳本

對這一 JS 腳本進行分析,發現該腳本的確被植入 JS 挖礦腳本,具體如下:

圖 3-OA 加載挖礦腳本

圖 4-挖礦 JS 代碼功能

圖 5-挖礦 JS 源碼

圖 6-挖礦網站

圖 7-LoginID 細節

可以看到,這里面的 ID31f7dd372f1545eeb6db379490b0e3c5 為 LoginID, 而非 XMR 的地址,通過將 XMR 地址通過相應的算法轉換為 LoginID, 避免了查找真實的 XMR 地址,起到了保護隱私的目的。

 通過上面的分析,可以看到該 JS 的大概功能如下:

礦池地址 wss://xmr.omine.org:8181
挖礦方式 網頁挖礦 (JS 挖礦) 正常用戶訪問被植入 JS 的網站 (OA 系統),正常用戶的瀏覽器都會自動為攻擊者挖礦。挖礦使用 CPU 挖礦,瀏覽器會占用所有的 CPU 資源。
植入的 JS https://xmr.omine.org/assets/v7.js
XMR 地址 無法查到,攻擊者將 XMR 地址使用算法轉換為 LoginID,從而避免查找其 XMR 地址以及相關的挖到數字貨幣的相關數據。 LoginID: 31f7dd372f1545eeb6db379490b0e3c5
挖礦 JS 被植入時間 2018 年 11 月 8 日或更早
挖數字貨幣類型 XMR 門羅幣, 一種全匿名的數字貨幣。其特點在于交易過程全匿名,無法追蹤。

服務器被植入挖礦腳本說明服務器肯定被黑客入侵了,由于目前 OA 系統服務器僅 6001 端口對互聯網開放,因此通過 web 應用入侵的可能性比較大。另外,黑客入侵以后可能會對系統及應用進行操作,如添加賬號、開放端口、增加定時任務、自啟動程序、植入 webshell、后門等,因此需要對系統對 web 應用進行全面分析,以發現黑客可能進行的惡意操作行為。

 2.3 系統分析

2.3.1 開放端口分析

對 OA 服務器的開放端口, 發現其開放以下端口。

圖-8-開放端口

序號 開放端口 應用 建議
1 21 vsftpd 建議只對內網開放,并且訪問需要經過堡壘機。  
2 22 SSH 建議只對內網開放,并且訪問需要經過堡壘機。 
3 111 portmap 建議分析,并決定是否需要關閉
4 631 cupsd 建議分析,并決定是否需要關閉
5 925 rpc.statd 建議分析,并決定是否需要關閉
6 2207 python 建議重點分析,并決定是否需要關閉
7 2208 hpiod 建議分析,并決定是否需要關閉
8 6001 OA 應用端口 建議經過 WAF 防護

結論:通過以上分析,可以看出該臺服務器開放較多非業務端口,建議根據實際情況進行決定是否需要開放。

 2.3.2  網絡連接分析

通過分析 OA 服務器,目前只發現有以下連接。

圖 9-網絡連接情況

相關連接作用主要如下:

序號 連接 說明
1 10.134.1.76:*->10.134.1.74:1521 和 Oracle 數據庫交互,其為用戶訪問 OA 時調用后臺數據庫
2 10.134.1.76:22<-10.134.8.222 內部運維訪問該服務器
3 10.134.1.76:6001<-220.178.108.2 用戶通過互聯網訪問 OA

 結論:通過上面的分析,可以看出網絡連接層面正常。

2.3.3 賬號分析

2.3.3.1 root 權限用戶

目前僅有 root 一個用戶具有 root 權限。

圖 10-root 權限用戶

2.3.3.2 可登錄用戶

OA 服務器有三個用戶可以使用 SSH 方式進行登錄:root、ahsx、suncn

圖 11-可登錄用戶

通過/etc/shadow 文件分析,也僅 root、ahsx 和 suncn 三個賬號可以登錄。

圖 12-可登錄用戶

結論:通過上面的分析,可以看出賬號層面正常。

2.3.4 定時任務分析

通過分析,系統未見定時任務。

圖 13-定時任務

但是對/var/log/cron*日志分析,發現存在 5 個相關的日志。

圖 14-定時任務日志

對日志內容進行分析,發現 10 月 29 日 0 點 08 分 01 秒使用 root 賬號下載一個 sh 文件。

圖 15-日志分析

該定時任務一直到 2018 年 11 月 8 日 17:49:01 秒才結束。

圖 16-定時日志分析

2.3.4.1  mr.sh 腳本分析

對 mr.sh 腳本進行分析,發現 mr.sh 腳本功能非常強大。大概功能如下:

1. 殺掉部分進程、網絡連接

2. 更改主機的 iptables,拒絕部分主機訪問

3. 自動下載其他惡意腳本、文件, 并執行

4. 將惡意腳本加入到自啟動中

5. 刪除安裝后的惡意腳本與臨時文件

圖 17-mr.sh 腳本內容

2.3.4.2 wc.conf 分析

wc.conf 該文件主要為挖礦的配置文件,里面包括礦池地址、礦工名以及挖礦的相關配置。

圖 18-wc.conf 分析

通過以上的分析,可以看到,黑客在 2018 年 10 月 29 日 0 點 08 分 01 秒前已經入侵該臺服務器,植入挖礦程序,直到 2018 年 11 月 8 日 17 時 49 分該挖礦程序才停止。

2.3.5 歷史命令分析

通過對歷史命令分析,可以看到曾執行以下惡意腳本。通過對腳本內容分析,發現其是一個挖礦腳本,和 http://www.tionhgjk.com:8220/mr.sh 為同一腳本。

圖 19-部分歷史命令

圖 20-192.99.142.246:8220/mr.sh 惡意腳本內容

結論:歷史命令發現曾執行惡意腳本,腳本主要功能為下載挖礦程序。

2.3.6 Hosts 文件分析

Host 文件記錄域名到 IP 的對應關系,在查詢時其優先級別高于 DSN 查詢,黑客經常將正常域名解析到黑客控制服務器的 IP 地址上,以實現監聽、代理等功能。對 OA 服務器的 hosts 文件分析,其解析情況正常。 

圖 21-hosts 配置分析

結論:hosts 文件正常。

2.3.7  登錄日志分析

Last 記錄 OA 服務器最近用戶的登錄退出等情況,通過對最近登錄情況 (登錄用戶、登錄 IP、登錄時間等內容) 的分析,可以了解系統的安全情況。對最近登錄情況分析,發現 OA 服務器最近登錄情況正常。

圖 22-最近登錄情況

圖 23-最近登錄失敗情況

圖 24-最近登錄用戶情況

結論:最近登錄情況正常。

2.3.8 啟動項分析

啟動項記錄系統自啟動的情況,若黑客入侵植入木馬或后門為了持續控制該服務器,會將相應用服務加入到自啟動服務中。這樣的話,在重啟以后,也可以持續控制該服務器。對 OA 的自啟動分析,發現其自啟動服務較多,未發現明顯異常自啟動服務。

圖 25-啟動服務

結論:未發現異常自啟動服務

2.3.9 病毒木馬分析

Linux 下病毒木馬相對較少,但是也存在。Linux 下主要的安全隱患是 rootkit,rootkit 是一種惡意程序,一般會和病毒木馬后門程序等捆綁在一起安裝。并且系統被植入 rootkit 以后,通過系統無法查找其文件、進程、網站流程、賬號等情況。排除難度較大。查找 rootkit 一般通過工具查找,rkhunter 是一款不錯的 rootkit 查找工具。這里,我們使用 rkhunter 來查找 rootkit。

圖 26-rkhunter 查找 rootkit

圖 27-查找 rootkit 日志

結論:通過以上分析,目前 OA 服務器無 rootkit

2.3.10 系統分析總結

通過以上的分析,可以得出系統層面以下結論:

1、系統賬號正常

2、網絡連接情況正常

3、開放端口過多,建議禁用非業務端口

4、定時任務發現歷史曾定時下載挖礦程序

5、歷史命令分析歷史曾下載挖礦程序

6、啟動項正常

7、未發現病毒、木馬、后門

2.4 應用分析

因為該服務器只對互聯網開放 web 端口,并且通過系統層面的分析到該服務器曾經定時下載惡意腳本,因此基本判定黑客是通過 web 方式入侵服務器的。因此,需要對 web 應用進行全面的分析,通過和 OA 開發人員溝通,其網站后臺的維護全部通過操作系統后臺進行維護,前臺無法維護。因此需要對 web 應用進行全面分析。

2.4.1 Webshell 分析

使用 D 盾對 web 應用進行 webshell 查殺,未發現 webshell。

1.png

圖 28-使用 D 盾檢查 webshell 情況

結論:無 webshell, 并且前文分析到系統中無后門與木馬,因此初步判定黑客是通過應用的漏洞來入侵系統,并且該漏洞可以執行系統權限。

2.4.2 日志分析

目前 web 日志只保存 2018 年 11 月 13 日到 14 日的日志,由于黑客入侵在 10 月 29 號或以前,因此無法通過日志分析黑客入侵的方式。

圖 29-訪問日志

結論:由于日志只保存 11 月 13 日與 14 日,無法通過日志分析黑客的入侵方式。

2.4.3 Weblogic 分析

既然前面已經判定黑客是通過 web 方式入侵的,并且這種利益驅動的黑客入侵的方式一般為利用現有的漏洞批量入侵,因此需要對 web 應用的中間件及版本進行分析,再通過中間件類型與版本關聯相應的漏洞進行分析黑客可能的入侵途徑。

通過分析,OA 系統使用的是 weblogic 中間件,通過查看 registry.xml 配置文件分析,發現其 weblogic 的版本為 10.3.6.0。通過 google 搜索相應的漏洞,發現該版本存在多個重大漏洞,可利用該漏洞 getshell,拿到服務器權限。相應的漏洞 CVE 編號如下:

1.  CVE-2014-4210

2.  CVE-2015-4852

3.  CVE-2017-3248

4.  CVE-2017-10271

5.  CVE-2018-2628

……

圖 30-weblogic 10.3.6 漏洞

圖 31-weblogic 版本

圖 32- CVE-2017-10271

圖 33- CVE-2018-2628 漏洞

結論:由于該服務器對外只開放 web 業務,基本上判定黑客是通過 web 入口入侵,另外,由于該版本存在較多高危漏洞,初步懷疑通過該漏洞入侵的可能性比較高。建議升級 weblogic 的版本或使用 WAF 進行防護。

2.4.4 應用分析總結

由于應用日志只保存 11 月 13-14 日日志,無法通過日志分析黑客入侵的方式,并且 weblogic 10.3.6.0 版本存在較多高危漏洞,因此初步判定黑客是通過 weblogic 漏洞入侵。

2.5 分析總結

1. 此 OA 為某用戶老 OA,因為需要使用其數據才臨時啟用。

2. 此服務器對應內部 IP 為 10.134.1.76,目前對互聯網僅開放其 6001 端口,22 端口只能通過內部訪問;目前僅對互聯網開放 6001 端口。

3. 系統賬號正常

4. 網絡連接情況正常

5. 開放端口過多,建議禁用非業務端口

6. 定時任務發現歷史 (2018 年 10 月 29 日至 2018 年 11 月 8 日) 曾定時下載挖礦程序

7. 歷史命令分析歷史曾下載挖礦程序

8. 啟動項正常

9. 系統層面未發現病毒、木馬、后門

10. 因為其 OA 日志僅保存 2018 年 11 月 13 日至 2018 年 11 月 14 日,黑客植入挖礦程序在 2018 年 11 月 8 號及以前,無相關日志,無法分析黑客入侵的途徑。

11. 目前追溯到 2018 年 10 月 29 日已被植入挖礦程序;2018 年 11 月 8 日或更早被植入 JS 代碼進行挖礦

12. 未保存黑客攻擊時 web 應用的相關日志,無法通過日志分析黑客入侵的方式,但是 webgloic 相關版本存在較多高危漏洞,推測利用 weblogic 漏洞入侵的可能性較大。

三 建議

1. 升級 weblogic 版本或者使用 WAF 進行防護,同時需要升級 WAF 策略庫,以保障可以防護相應的漏洞

2. 定期對服務器進行安全檢查

3. 老的 OA 建議將相關數據遷移到新的 OA, 將老的 OA 暫停使用

4. 定期對網站進行滲透測試與安全監測

5. 定期升級 WAF 策略

*本文原創作者:feiniao,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載

相關推薦
發表評論

已有 14 條評論

取消
Loading...

特別推薦

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图 趣看app全自动挂机赚钱 捕鸟达人小游戏 15选5 家庭主妇 利用闲暇时间 赚钱 大米彩票群 ro 猎人挂机赚钱 华体比分直播 足球比分网90vs 好运彩3 大唐天下 赚钱模式 万家彩票群 卡五星游戏 91街机捕鱼平台 甘肃麻将玩法是顺抓顺打吗 同城游美女捕鱼 河北20选5