一次SSH爆破攻击haiduc工具的应急响应
一、概述
2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。
二、检测定位阶段工作说明
2.1、异常现象确认
服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。
2.2、溯源分析过程
通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。
三、抑制阶段工作说明
临时配置防火墙禁止101.2.210访问其他区域服务器22端口;
修改服务器10.101.2.210弱密码为强口令;
【查看相关资料】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
四、根除阶段工作说明
1.进程分析:ps -ef 查看运行进程,发现大量sshd命令
[图片上传失败...(image-71e302-1649243641235)]
2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件
[图片上传失败...(image-8a232f-1649243641235)]
3.进入到指定文件夹目录下
[图片上传失败...(image-2b01a5-1649243641235)]
4.拷贝下来进行病毒分析
[图片上传失败...(image-b28bc2-1649243641235)]
上传微步沙箱分析
[图片上传失败...(image-11e625-1649243641235)]
5.进行目录文件解剖(存在爆破IP和账号密码信息)
[图片上传失败...(image-19bac5-1649243641235)]
[图片上传失败...(image-1362d2-1649243641235)]
6.登录安全:ssh免密登录排查
[图片上传失败...(image-999307-1649243641235)]
未发现配置有可疑的ssh免密登录keys
7.服务器最近登录日志分析
[图片上传失败...(image-ac2e00-1649243641235)]
其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。
最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211
8.查看最近爆破登录日志
[图片上传失败...(image-ac8e3f-1649243641235)]
[图片上传失败...(image-bac00b-1649243641235)]
该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;
9.账号异常排查
[图片上传失败...(image-89c07b-1649243641235)]
[图片上传失败...(image-4724ec-1649243641235)]
分析:未发现异常可疑账号
10.查看历史操作日志
[图片上传失败...(image-7e6c41-1649243641235)]
[图片上传失败...(image-8f7a01-1649243641235)]
分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录
11.自启动项分析
[图片上传失败...(image-c65490-1649243641235)]
未发现异常
12.计划任务
[图片上传失败...(image-52cf56-1649243641235)]
未发现异常
13.根除
(1)修改弱口令为强复杂度扣口令
(2)Kill -9 haiduc 强行杀毒恶意进程后,进程断开
杀死进程前
[图片上传失败...(image-5df9ad-1649243641235)]
杀死进程后
[图片上传失败...(image-e2eb81-1649243641235)]
(3)删除对应的文件目录和文件
[图片上传失败...(image-7146a1-1649243641235)]
[图片上传失败...(image-392e71-1649243641235)]
截止目前,服务器恶意进程停止和态势感知恶意告警消失。
分析小结
通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。