原始进攻

Dota 威胁活动（从文件夹名称中获取的名字，稍候可能见到）会根据SSH动态口令工程爆破来得到服务器登录凭据。悲剧的是，恰好我的SSH蜜獾包括一个登录名及账户密码均为salvatore的客户。在SSH日志中，能够见到 *** 攻击登陆纪录：

在认证凭据能用后， *** 攻击会根据SSH实行DOS命令。为了更好地防止立即与 *** 服务器互动，全部的指令全是根据SSH开展推送的。由于我的蜜獾是含有自定OpenSSH版本号的系统软件，因此 我们可以见到 *** 攻击所实行过的指令，如下图：

更先， *** 攻击从54.37.70[。]249安装了名叫.x15cache的文档。随后等候了10秒后，实行了此文档。除此之外， *** 攻击还将客户登陆密码变更为了更好地随机字符串。

下边使我们看一看.x15cache的內容：

.x15cache看上去仅仅一个dropper文档，对自然环境开展设定后，它会从54.37.70[.]249 下载一个名叫dota2.tar.gz（上文提及的取名便是由此而来的）的文档，在这个tar文件的.rsync文件目录中，好像包括了很多故意文档。下面的图是我的文件检验脚本 *** 获取这种文档的全过程。

继续看.x15cache，下面它自动跳转到.rsync文件目录，试着实行和这两个文档。 *** 攻击在这儿应用了“||（或英语的语法）”，因此 仅有当实行不成功时才会实行殊不知却一直未强制执行，这引起了我的思索，我猜想编码应该是那样设计方案的：

i686构架相匹配于32位系统自然环境，而x86_64构架则指的是64位自然环境。因而，看上去cron是64位二进制文件，而anacron是32位系统二进制文件。应用file指令查询这两个二进制文件的特性，运作結果确认了我的假定：

知道这一点，大家就只必须对在其中一个文档开展剖析就可以，由于他们除开构架上的差别，作用是没什么差别的。

二进制文件cron剖析

在开展深层次的逆向分析以前，使我们来试一试应用strings指令后，是不是还能获得一些有效的信息内容。果真，“cryptonight”一下就造成了我的关注。

依据wiki能够了解：CryptoNight是一种劳动量证实优化算法，但因为现阶段都还没专业配套设施的挖矿机器设备。因而，现阶段只有根据一般PC的CPU开展挖矿。

因此 ，大家知道这一二进制文件与挖矿相关。使我们看一下有没有什么别的信息内容：

它是门罗币挖矿 *** 商xmrig的指令协助网页页面。除此之外，能够见到这一二进制文件的编译程序时间2019年5月3日，也便说是不上一个月以前。

现阶段来看，大家仅仅在与挖矿相处。那运作二进制文件，看一下是不是能从数据流量中寻找一些忽略的信息内容。

运作二进制文件后，能够见到服务器与5.255.86[。]129的80端口创建了联接：

接下来里开启tcpdump来捕捉这一联接的全部数据流量，随后在Wireshark中对它开展剖析，来掌握详细情况：

如圖，服务器向服务器发送了一些json数据信息。能够见到agent( *** 商)为XMRig，常用的algo（algorithm的缩写）为cn(CryptoNight的缩写)。看上去大家早已弄清楚了这一挖矿活动的前因后果。

第二阶段进攻

自然，进攻仍未到这里。在运作完大家刚刚剖析的指令及其一些各种各样信息收集命令以后， *** 攻击在几秒以后又发过来了新的指令：

此次，工作中途径从/ tmp转到/ dev / shm文件目录。转换到该文件目录后， *** 攻击会从54.37.70[。]249免费下载文件夹名称各自为rp和.satan的文档。随后，试着运作sudo以获得root管理权限，并应用root管理权限运作dropper文档.satan。下面，使我们看一下.satan文档的內容：

能够见到，与以前的.x15cache对比，.satan中安装了大量的dropper文档。更先，它建立了一个开机启动的systemd环境变量，文件夹名称为srsync。srsync启用了搭建在.satan脚本 *** 内的/usr/local/bin/srsync.sh。srsync.sh将运作perl脚本 *** rsync.pl及ps.bin（应该是个二进制文件）。rsync.p在/dev/shm/rp文件目录内（便是图中中与.satan一起被免费下载的哪个文件目录）。而ps.bin则是根据本脚本 *** （.satan）从服务器托管54.37.70[.]249 上免费下载的。特别注意的是：在免费下载挖矿手机软件时， *** 攻击将curl指令做为wget指令实行不成功时的预留挑选，而这儿却沒有这类实际操作。这一关键点表明很有可能这多起进攻并不是同一人所做。但无论如何，大家還是先剖析一下ps.bin和rsync.pl吧。