qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

1、概述
2019年6月13日，安天蜜网捕获到运用CVE-2015-1427(ElasticSearch Groovy)长途指令实行缝隙的侵犯行为。该缝隙原理是Elaticsearch将groovy作为脚本言语，并运用根据是非名单的沙盒机制约束风险代码实行，但该机制不行严厉，可以被绕过，然后导致呈现长途代码实行的状况。安天对此次事情进行了具体的样本分析，并给 if ((opts->ctrl & OPT_MAGIC_ROOT) && getuid() == 0) {出防范及修正主张。
2 、样本分析
2.1 要害侵犯载荷
从侵犯载荷来看，侵犯者通过groovy作为脚本言语，向_search?pretty页面发送一段带有恶意链接为http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json脚本，进行恶意shell脚本下载，然后完成长途代码侵犯，并进行挖矿行为。

图 2-1 数据包内容
解密后中心代码：

图 2-2 中心代码
2.2 样本分析
1) 侵犯脚本分析—init.sh
侵犯者通过http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下载并实行恶意脚本init.sh来植入Dog挖矿程序，一同对主机进行扫描等一系列操作。

图 2-3 封闭防火墙
之后实行封闭防火墙、封闭selinux并开释占用的资源、杀掉其他与挖矿相关的进程、设置守时使命（每30分钟下载一次可实行文件update.sh），获取ssh权限，进行iptables规矩转发修正，一同整理相关操作前史、日志等操作。

图 2-4 检查并杀死其它存在的挖矿进程

图 2-5 设置守时使命

图 2-6 恶意脚本下载地址、备份地址以及巨细设置

图 2-7 整理相关日志、前史
在此过程中，脚本会检查sysupdate、networkservice 和sysguard这3个进程是否发动，假定没有则进行发动。

图 2-8 当其间一个被kill关于侵犯者，因为没有用户hash，也就没 *** 生成keyexchangekey，虽然在流量里面可以拿到encryptedrandomsessionkey，但是没有keyexchangekey，也就没 *** 运算出exportedsession_key，也就无法对流量进行加解密。然后进行Relay。掉后，调度文件重新发动
2) 样本分析—sysguard、networkservice、sysupdate
三个样本为go言语编写并运用UPX加壳，对应的main_main函数结构别离如下：

图 2-9 sysguard-main_main函数结构

图 2-10 networkservice-main_main函数结构

图 2-11 sysupdate-main函数
通过与之前捕获的systemctI样本比照发现，此次侵犯分红挖矿、扫描、函数调用三个进程进行调度。而且在networkservice样本中发现了相关缝隙运用函数和扫描函数。

图 2-12 networkservice扫描函数
通过比照之前捕获的样本发现两次侵犯 *** 相似，不同的是此次侵犯是通过sysguard、networkservice（扫描）和sysupdate三个进程一同进行的。这也意味着，发现服务器被感染后要将这三个进程一同kill掉。
3) 配置文件—config.json
在下载的配置文件中，我们发现了多个矿池地址：
表 2-1 矿池列表：


图 2-13 s配置文件
3、受影响的服务及缝隙
表 3-1 受影响的服务和缝隙：

4、IOC
表 4-1 侵犯IP：

[1] [2]  下一页

#pragma comment (linker, "/export:GetFileVersionInfoW=c:windowssystem32version.GetFileVersionInfoW,@7")相同，假定你通过Wireshark捕获流量，那么你将会注意到ICMP echo request和reply数据包正在两个端点之间传输。假定你检验分析这些数据包，那么你将可以看到哪种payload被作为ICMP数据正在传输。qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

amsfauxiliary(admin/ *** b/psexec_command) > set rhosts 192.168.1.104 _In_ UINT cEntries,

exec sp_dropextendedproc ’Sp_OAGetErrorInfo’ _resolved_a *** s[args.Name] = null;假定你搜索过怎样删去TI具有的资源，你一般会得到这样的效果：它会奉告你首先要获取文件或许密钥的全部权，然后再更改DACL来添加管理员组。这是因为即使是兼容IFileOperation UAC COM的组件一般也不会自动工作，而且会弹出下面这个对话框：

运用EternalChampion进行侵犯 __a *** {运用 *** btouch勘探

运用的东西4.指令交互状态机/状态机结束，交互进程

在侵犯进程中，黑客通过Vulnerability成功侵犯政策系统内部，攫取数据库权限。Backdoor担任为黑客后续的侵犯行为供应一扇任意门。Rootkit则担任把这道任意门变为隐形方式。Vulnerability、Backdoor和Rootkit三者联合是高级渗透侵犯的惯用 *** 。处理安全问题不光要处理Vulnerability的问题（按时打补丁即可），更重要的是处理Backdoor和Rootkit的存在。能否识破Rootkit的存在，将是数据库扫描类安全产品的中心竞争力之一。

qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

注：在我进行检验Windows 7系统环境中，DEP（数据实行保护）功用现已被禁用了。DEP是一套软硬件技术，它不仅可以防止存储在栈内存中的操作码得到直接实行，而且它还可以在内存上实行额外的安全检查以帮忙防止恶意代码在政策系统中工作。美国DHS 《2025要害基础设施战略性风险点评陈说》指出：未来十年，信息技术将与要害基础设施领域广泛结合，因此，在面临广泛安全问题的一同， *** 物理系统的多样性，还将带来不知道的安全缝隙和侵犯面。Dave, my mind is going.

Linux kernel对ARM上的get_user/put_user缺少访问权限检查，本地侵犯者可运用此缝隙读写内核内存，获取权限进步。

self.children = children内部挟制因为侵犯者具有内部知识，因此可以直接访问中心信息资产，对企业构成严峻危害；一同，透明性与隐蔽性却使得这种挟制难以检测发现，难以防范，因此我们说内部挟制要比外部挟制更需求重视，采用真实有效地应对 *** 。
本文标题:qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析