就在前不久，我自己布置的一个蜜罐受到了一次特别严重的进犯，其间触及到了两个长途拜访东西和一个加密钱银歹意挖矿文件。接下来，我将在这篇文章中跟咱们剖析一下这一波进犯，并看看进犯者所运用的进犯技能。值得一提的是，现在的互联网中这类进犯每秒钟都会发作一次。 初始感染 依据进犯文件的内容，我将此次进犯命名为了“Dota Campaign”。在此进犯活动中，进犯者经过弱SSH凭据获取到了方针设备的初始拜访权。我的SSH蜜罐所运用的用户名和暗码均为salvatore，下面给出的是我SSH日志的初始登录数据： 完结认证之后，进犯者马上经过SSH履行了体系指令，并且一切指令都是经过实践的SSH指令传递进来的，由于我的体系是一个安装了自定义OpenSSH版别的蜜罐，所以咱们能够查看到进犯者履行的指令： 首要，进犯者经过HTTP向主机54.37.70[.]249恳求了一个名为.x15cache的文件，然后在等待了10秒钟之后履行了该文件。除此之外，进犯者还将用户暗码修正为了一个随机字符串。.x15cache文件的内容如下： 由此看来，.x15cache文件应该仅仅一个担任设置环境的Dropper，它还会获取主机54.37.70[.]249中的其他文件。第二个文件名叫dota2.tar.gz，这个tar文件包括的是一段歹意代码，目录名为.rsync。我用我的文件检测脚本提取了该文件中的部分内容： .x15cache脚本会切换到这个.rsync目录中，然后测验履行./cron和./anacron文件。进犯者运用了“||”或句子来让./cron文件先履行，假如履行失利则履行./anacron。.rsync目录中还有一个文件，这个文件好像历来不会运转，咱们一同看一看： i686架构针对的是32位环境，x86_64架构针对的是64位环境。假如cron是64位代码，那么anacron便是32位的了。运转之后咱们也证明了这一点： 由于这两个文件其实做的是同一件工作，所以咱们只需求剖析其间一个就能够了。 剖析cron代码 咱们先经过strings指令搜集一些基本信息，其间的“cryptonight”字符串招引了我的留意： 实践上，CryptoNight是一种工作量证明算法，它能够适用于一般PC的CPU，但它不适用于专门的挖矿设备，所以CryptoNight暂时只能用CPU挖矿。 得知它跟挖矿有关之后，咱们看看strings指令还能找到些什么： 上图为xmrig指令的协助页面，而它是一款针对门罗币的CPU挖矿软件。除此之外，咱们还捕捉到了编译时刻信息：2019年5月3日，也便是上个月。 接下来，咱们一同剖析一下 *** 流量。咱们能够看到代码跟新的主机5.255.86[.]129:80建立了衔接： 运转tcpdump捕捉流量后，咱们用Wireshark对其进行了剖析： 客户端会向服务器发送一些json数据，并且这儿还包括了XMrig参数以及cn参数（CryptoNight）。 进犯第二阶段 在运转了上述指令之外，进犯者还会在几秒钟之后运转另一波指令： 这一次，进犯者的操作目录为/dev/shm，并从之前的主机54.37.70[.]249获取rp和.satan这两个文件，。接下来，进犯者会测验运转sudo指令来获取root权限，然后以root权限感染.satan脚本。.satan文件内容如下： 这个satan脚本首要会创立一个名为srsync的体系服务文件，然后主动运转。srsync服务会调用脚本/usr/local/bin/srsync.sh，而srsync.sh脚本会运转rsync.pl在这个perl脚本以及ps.bin代码文件。rsync.pl脚本来自于/dev/shm/rp，会跟.satan脚本一同从服务器传送过来，并运用wget指令获取ps.bin代码文件（来自于主机54.37.70[.]249）。需求留意的是，在歹意挖矿软件中，进犯者运用了crul作为wget的备用指令， 剖析ps.bin文件[1][2]黑客接单网