记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

典型挖矿病毒ATT&CK战术分析及防护策略

2020-09-09 09:54


01

概 述



随着互联网的发展和智能终端的普及,攻击的学习成本越来越低,攻击软件也越来越智能化,随之普通初学者发起网络攻击的难度越来越小,企业网络安全运维人员承受着巨大的压力。国家出台了“等保”标准,该标准详细介绍了防护要求,减少了企业选择安全产品的难度,但是很多人肯定有非常多的困惑,为什么需要这些防护措施。Adversarial Tactics, Techniques, and Common Knowledge是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型(详细的ATT&CK技术可以参考本公众号上的ATT&CK工控模型微信文章),借鉴ATT&CK理论思路,我们从黑客攻击的角度来探讨攻击过程及应用的战术,然后介绍针对各种攻击战术的防护措施。本文先详细描述一个暴力攻击案例,然后介绍该案例涉及的战术及防护技术。

02

型挖矿病毒


攻击过程


客户发现有一批 Linux RH6.7服务器的CPU占用非常高,经过两次清理之后无法完全清理病毒,并向我司求助,希望找出攻击源、清理病毒并实现网络安全防护。经过查看相关日志信息,初步分析三次攻击时间如下:


经过详细分析,我们发现其攻击过程为外部攻击主机通过192.168.A.B对外提供的SSH服务(端口22)实施SSH密码暴力破解,横向SSH暴力破解内网其他机器,再上传挖矿软件并执行挖矿代理程序和挖矿程序,然后通过可以联通互联网的挖坑代理192.168.X.Y上传相关挖矿信息。

1) 暴力破解:通过对SSH服务进行暴力破解192.168.A.B,然后再向其他主机进行SSH爆破登录,爆破过程如下图所示:

 

2) 病毒启动过程:创建目录->上传文件->执行x,执行a->a启动crontab执行upd->upd去执行run->run去执行真正的挖矿程序(详细过程后续章节介绍),如下图所示:
 


3) 挖矿病毒执行:所有的被感染的主机作为挖矿主机,连接主机192.168.X.Y的3333端口服务并把挖矿信息上传到该主机上,192.168.X.Y主机再把挖矿信息上传到矿池服务器45.125.194.18:80上

战术分析


“ATT&CK工控模型”文章“针对工控系统的战术和技术矩阵”中小节汇总了11种战术和81种技术,根据我们对这次攻击事件的总结,此次事件中涉及中的8种战术和9种技术,攻击技术如下表所示:

技术名称

战术

攻击内容

远程系统发现

发现

暂时无法通过日志获取到攻击信息,但是攻击之前都必须寻找被攻击的对象

外部远程服务利用

初始访问

外部服务随时都会有暴力破解攻击,通过外部服务器和内部服务器的失败日志、文件生成时间、文件执行初步分析其破解过程

外部远程服务利用

横向运动

外部服务一般情况下不会有暴力破解攻击,通过失败日志、文件生成时间、文件执行时间初步分析内部主机暴力破解过程

有效帐号

横向运动

通过失败日志判断攻击使用的账号信息

命令行界面

执行

History日志已经被清除,暂时没有获取到相关信息

脚本编写

执行

在本地可以查看到被感染主机上存在挖矿病毒执行脚本并启动挖矿程序

常用端口

命令与控制

通过SSH端口暴力破解并执行相关程序,不过history信息已经被清除

连接代理

命令与控制

已经确定192.168.X.Y可以访问外网,通过分析挖矿病毒配置可以确定192.168.X.Y开放代理端口3333并向挖矿服务器上传相关信息。

主机上的痕迹擦除

逃避

History、登录信息及相关日志已经被清除

生产力和收入损失

影响力

挖矿病毒程序执行导致系统CPU占用100%


暴力破解过程

 


外网通过SSH暴力破解并横向暴力破解流程如上,SSH服务记录登录认证日志到/var/log/secure,同时操作系统用户认证过程也相应会记录失败和成功日志到/var/log/wtmp和/var/log/btmp文件中,可以分别通过last和lastb查看登录日志信息。

病毒启动过程

 

1) 通过SCP或其他文件上传工具上传病毒文件,并保存在/dev/shm/.ssh/目录,文件内容如下:
 


2) 然后执行x脚本


a.X脚本执行a脚本,创建定时任务并执行run脚本

b.执行run脚本


3) 定时器定时执行upd脚本

a.UPD脚本检测挖矿病毒程序是否运行,如果没有运行,则启动


b.定时脚本执行日志内容如下
 


病毒执行过程

1) 所有的挖矿机连接代理服务器192.168.X.Y的3333服务并上传挖矿信息。
 


2) 内网唯一一个IP地址192.168.X.Y具有访问外网权限


3) 挖矿代理服务器的IP地址为192.168.X.Y,默认开启3333和4444端口,其连接外网的45.125.194.18矿池服务器。

a.192.168.X.Y连接矿池服务器的45.125.194.18的用户为


b.192.168.X.Y连接矿池服务器的45.125.194.18的密码为 CTC:malaysia@xmr.com

c.详细配置如下:
 


4) 通过访问该矿池服务地址及微步查询45.125.194.18,确定该服务器提供挖矿病毒的服务。
 

 
痕迹擦除

 

通过分析的日志信息,发现攻击时段内/var/log/目录下大多数的日志都没有,包括lastlog、secure、messages、syslog、xferlog、auth.log、user.log,所幸保留了btmp和cron相关日志。

1) 首先通过查看wtmp文件的最后更新时间及文件大小,初步判断登录信息已经被清除。
 


2) 然后通过last命令查看最近登录的日志信息,发现登录日志的最后登录时间中只有最近一次登录的时间,登录信息已经被攻击者清除。


03

防护策略



针对此次攻击涉及的技术,为每种攻击技术找到对应等保防护要求,然后按照威努特安全解决方案给出每类攻击技术的防护方法:

1) 攻击技术对应等保规范防护要求

技术名称

等保技术要求

等保详细要求

远程系统发现

安全区域边界

边界防护:应能够对非授权设备私自联到内部网络的行为进行检查或限制;

外部远程服务利用

安全区域边界

安全计算环境

 

边界防护:应能够对非授权设备私自联到内部网络的行为进行检查或限制;

访问控制:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信

访问控制:应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出

入侵防范:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为

安全审计应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

身份鉴别:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

入侵防范:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

有效帐号

安全计算环境

访问控制:应重命名或删除默认账户,修改默认账户的默认口令

访问控制:应及时删除或停用多余的、过期的账户,避免共享账户的存在

命令行界面

安全计算环境

安全审计:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

脚本编写

安全计算环境

入侵防范:应遵循最小安装的原则,仅安装需要的组件和应用程序

恶意代码防范:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断  

常用端口

安全计算环境

入侵防范:应关闭不需要的系统服务、默认共享和高危端口

连接代理

安全区域边界

安全计算环境

访问控制应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化

入侵防范:应关闭不需要的系统服务、默认共享和高危端口

主机上的痕迹擦除

安全计算环境

访问控制:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

访问控制:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

生产力和收入损失

安全计算环境

入侵防范:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警


2) 攻击技术对应解决方案防护方法

技术名称

防护产品

防护方法(产品功能及描述)

远程系统发现

防火墙

扫描攻击防范:通过防火墙检测扫描攻击并输出实时告警

监控审计

网络会话:监控网络会话并生成日志

日志审计

关联分析:关联分析网络会话日志并生成网络扫描攻击告警

外部远程服务利用

防火墙

ACL通过自学习会话白名单并生成ACL规则并对违反规则的会话产生告警

主机卫士

主机加固操作系统加固,配置用户账号策略密码最大连续登陆次数;设置账号锁定登陆失败次数、锁定时间;配置账号密码复杂度要求;

主机加固:SSH服务加固,不允许root账号直接登录到系统;不允许密码登陆,只能通过认证的密钥登陆系统

监控审计

网络会话:通过自学习会话白名单并对违反规则的会话生成日志

Agent

用户登录登出监测:监控用户登录成功和失败日志

日志审计

关联分析:关联分析服务器Agent的用户登录日志和监控审计的网络会话事件并识别暴力破解攻击

有效帐号

主机卫士

 

主机加固:操作系统加固,重命名或删除默认账户,修改默认账户的默认口令;删除或停用多余的、过期的账户;

命令行界面

Agent

操作命令及回显:监测用户操作命令行并记录命令操作日志

进程启动监控:监测进程启动并记录进程启动日志

日志审计

关联分析:关联分析日志并识别攻击

脚本编写

主机卫士

程序白名单:非白名单程序或脚本执行并产生告警

常用端口

防火墙

目的NAT:将对外NAT之后的监听端口更改为其他非表端口

主机卫士

主机加固:禁止非必要的常用服务,如FTP、Telnet
 网络白名单:禁止访问本地非必要的常用服务;限制访问本地服务的IP地址

连接代理

主机卫士

网络白名单:禁止访问本地非必要的服务;限制访问本地服务的IP地址

非法外联:检测内网主机非法外联行为,可以检测到192.168.X.Y非法外联;

监控审计

网络会话:通过自学习网络白名单并生成异常网络会话事件

Agent

启动进程监控:监测进程启动并记录进程启动日志

开放非法端口:监测本地开放端口并记录端口启动日志非法外联:监测和外网通讯报文并记录非法外联日志

日志审计

关联分析:关联分析日志并识别挖矿病毒攻击

主机上的痕迹擦除

主机卫士

强制访问控制:保护相关日志(如:/var/log/wtmp)不被不授权的程序删除

生产力和收入损失

主机卫士

程序白名单:非白名单程序或脚本执行并产生告警


04

总 结



通过一个典型的攻击案例,基于攻击者视角来追踪现实世界中使用和出现过的攻击技术并提供相应的防护手段,也就是说从攻击方的角度来阐述安全产品功能的必要性和防护方法。本文只是讲述一个简单的Linux挖矿病毒攻击案例,后续根据文章的反馈情况讲解Windows挖矿病毒、勒索病毒等常用案例并介绍应用的攻击战术及相应的防护方法。

威努特简介

北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!


渠道合作咨询   张先生 18201311186
稿件合作   微信:shushu12121



知识来源: https://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651072546&idx=1&sn=681e0d889c2953b6743dd02680da18dd

阅读:119627 | 评论:0 | 标签:防护 病毒

想收藏或者和大家分享这篇好文章→复制链接地址

“典型挖矿病毒ATT&CK战术分析及防护策略”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云