qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

访客5年前关于黑客接单642

qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

1、概述
2019年6月13日,安天蜜网捕获到运用CVE-2015-1427(ElasticSearch Groovy)长途指令实行缝隙的侵犯行为。该缝隙原理是Elaticsearch将groovy作为脚本言语,并运用根据是非名单的沙盒机制约束风险代码实行,但该机制不行严厉,可以被绕过,然后导致呈现长途代码实行的状况。安天对此次事情进行了具体的样本分析,并给 if ((opts->ctrl & OPT_MAGIC_ROOT) && getuid() == 0) {出防范及修正主张。
2 、样本分析
2.1 要害侵犯载荷
从侵犯载荷来看,侵犯者通过groovy作为脚本言语,向_search?pretty页面发送一段带有恶意链接为http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json脚本,进行恶意shell脚本下载,然后完成长途代码侵犯,并进行挖矿行为。

图 2-1 数据包内容
解密后中心代码:

图 2-2 中心代码
2.2 样本分析
1) 侵犯脚本分析—init.sh
侵犯者通过http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下载并实行恶意脚本init.sh来植入Dog挖矿程序,一同对主机进行扫描等一系列操作。

图 2-3 封闭防火墙
之后实行封闭防火墙、封闭selinux并开释占用的资源、杀掉其他与挖(qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析)矿相关的进程、设置守时使命(每30分钟下载一次可实行文件update.sh),获取ssh权限,进行iptables规矩转发修正,一同整理相关操作前史、日志等操作。

图 2-4 检查并杀死其它存在的挖矿进程

图 2-5 设置守时使命

图 2-6 恶意脚本下载地址、备份地址以及巨细设置

图 2-7 整理相关日志、前史
在此过程中,脚本会检查sysupdate、networkservice 和sysguard这3个进程是否发动,假定没有则进行发动。

图 2-8 当其间一个被kill关于侵犯者,因为没有用户hash,也就没 *** 生成keyexchangekey,虽然在流量里面可以拿到encryptedrandomsessionkey,但是没有keyexchangekey,也就没 *** 运算出exportedsession_key,也就无法对流量进行加解密。然后进行Relay。掉后,调度文件重新发动
2) 样本分析—sysguard、networkservice、sysupdate
三个样本为go言语编写并运用UPX加壳,对应的main_main函数结构别离如下:

图 2-9 sysguard-main_main函数结构

图 2-10 networkservice-main_main函数结构

图 2-11 sysupdate-main函数
通过与之前捕获的systemctI样本比照发现,此次侵犯分红挖矿、扫描、函数调用三个进程进行调度。而且在networkservice样本中发现了相关缝隙运用函数和扫描函数。

图 2-12 networkservice扫描函数
通过比照之前捕获的样本发现两次侵犯 *** 相似,不同的是此次侵犯是通过sysguard、networkservice(扫描)和sysupdate三个进程一同进行的。这也意味着,发现服务器被感染后要将这三个进程一同kill掉。
3) 配置文件—config.json
在下载的配置文件中,我们发现了多个矿池地址:
表 2-1 矿池列表:


图 2-13 s配置文件
3、受影响的服务及缝隙
表 3-1 受影响的服务和缝隙:

4、IOC
表 4-1 侵犯IP:

[1] [2]  下一页

#pragma comment (linker, "/export:GetFileVersionInfoW=c:windowssystem32version.GetFileVersionInfoW,@7")相同,假定你通过Wireshark捕获流量,那么你将会注意到ICMP echo request和reply数据包正在两个端点之间传输。假定你[???:????]检验分析这些数据包,那么你将可以看到哪种payload被作为ICMP数据正在传输。qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

amsfauxiliary(admin/ *** b/psexec_command) > set rhosts 192.168.1.104 _In_ UINT cEntries,

exec sp_dropextendedproc ’Sp_OAGetErrorInfo’ _resolved_a *** s[args.Name] = null;假定你搜索过怎样删去TI具有的资源,你一般会得到这样的效果:它会奉告你首先要获取文件或许密钥的全部权,然后再更改DACL来添加管理员组。这是因为即使是兼容IFileOperation UAC COM的组件一般也不会自动工作,而且会弹出下面这个对话框:

运用EternalChampion进行侵犯 __a *** {运用 *** btouch勘探

运用的东西4.指令交互状态机/状态机结束,交互进程

在侵犯进程中,黑客通过Vulnerability成功侵犯政策系统内部,攫取数据库权限。Backdoor担任为黑客后续的侵犯行为供应一扇任意门。Rootkit则担任把这道任意门变为隐形方式。Vulnerability、Backdoor和Rootkit三者联合是高级渗透侵犯的惯用 *** 。处理安全问题不光要处理Vulnerability的问题(按时打补丁即可),更重要的是处理Backdoor和Rootkit的存在。能否识破Rootkit的存在,将是数据库扫描类安全产品的中心竞争力之一。

qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

注:在我进行检验Windows 7系统环境中,DEP(数据实行保护)功用现已被禁用了。DE[???:????]P是一套软硬件技术,它不仅可以防止存储在栈内存中的操作码得到直接实行,而且它还可以在内存上实行额外的安全检查以帮忙防止恶意代码在政策系统中工作。美国DHS 《2025要害基础设施战略性风险点评陈说》指出:未来十年,信息技术将与要害基础设施领域广泛结合,因此,在面临广泛安全问题的一同, *** 物理系统的多样性,还将带来不知道的安全缝隙和侵犯面。Dave, my mind is going.

Linux kernel对ARM上的get_user/put_user缺少访问权限检查,本地侵犯者可运用此缝隙读写内核内存,获取权限进步。

self.children = children内部挟制因为侵犯者具有内部知识,因此可以直接访问中心信息资产,对企业构成严峻危害;一同,透明性与隐蔽性却使得这种挟制难以检测发现,难以防范,因此我们说内部挟制要比外部挟制更需求重视,采用真实有效地应对 *** 。
本文标题:qq黑客网:安天蜜网捕获“使用ElasticSearch Groovy缝隙进行门罗币(Dog)挖矿”事情剖析

相关文章

悠红包:免费送你8.8元,但只让你提0.5元秒到!

悠红包表面上是一个抢红包APP,实际上内里还真是抢红包的平台。新用户首次登录,免费获赠8.8米,不外首次只能提0.5米,亲测秒到账微信零钱!后续另有20米起提,可以通过做义务凑到这么多,但总感受怪怪的...

一般企业需要防火墙吗(企业防火墙机制)

服务器防火墙是公司确保本身互联网环境安全管理的必需网络信息安全机器设备之一。那麼什么叫服务器防火墙呢?为何公司必须服务器防火墙? 伴随着黑客攻击威协的提升,依据组织统计分析,全球500强公司中有97...

网络黑客入门教学(网络黑客入门教学视频)-哪里可以找黑客帮忙找微信

网络黑客入门教学(网络黑客入门教学视频)(baidusina)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客业务...

域名被墙是什么意思,域名被墙怎么查询

域名被墙是什么意思,域名被墙怎么查询

域名被墙怎么查询?有哪些要领?许多新手预计都不知道什么是域名被墙,当域名被墙时,许多人都不知道,那么怎么判定一个域名是否被墙呢?有什么要领?下面小编就为各人先容一下域名是如何被墙的和怎么查询域名被墙。...

淘宝怎么开网店

浏览器打开,进到淘宝网网页页面,点一下左上方的亲,请登陆,登陆淘宝帐号,挑选右上角的千牛卖家管理中心,注册网店,系统软件会跳转到千牛卖家操作台,设定一个店铺名字,开展支付宝实名验证,依据网页页面填好本...

项目需求分析怎么写?

项目需求分析怎么写?

分享职场生活、职场攻略、领导同事相处技巧和创业资源 01 项目需求分析是系统分析和软件设计阶段之间的桥梁。 主要表现在两方面: 需求分析以系统规格说明和项目规划作为分析活动的基本出发点,并从软...