欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

挖矿僵尸网络现形记,已感染至少2万台服务器

来源:本站整理 作者:ziluobu 时间:2018-05-14 TAG: 我要投稿

一、情况概述
向心力安全团队通过流量监控设备发现某台服务器被入侵,服务器存在恶意文件,一直在向外请求数据包。
二、初步分析
(一)漏洞检测
通过用户提供的IP地址,在机房发现是一台山石的防火墙设备,登陆管理页面后发现设备下所属网段为172.16.1.0/24,通过查看配置文件,发现网站对应的服务器为172.16.1.100,扫描后发现172.16.1.100服务器开启了445,使用漏洞检测工具发现服务器存在永恒之蓝(ms17-010)远程代码执行漏洞,怀疑是此台服务器被攻击。

(二)分析过程
登陆服务器后发现Windows系统更新未开启,通过查看进程发现存在恶意进程,根据名字和进程参数判断为挖矿软件,运行后cpu资源会占用50%。

根据进程程序路径发现是有多个恶意挖矿软件运行在服务器上,并可以发现矿池地址为b1.crsky.org:444,根据进程路径,发现多个挖矿软件存在于c盘目录之中。
C:\ProgramData\a2-64ss.exe
C:\ProgramData\new\
C:\ProgramData\data\
C:\ProgramData\Smart\
从C:\ProgramData\Smart\文件夹中中发现有个bat写入了服务(Smart Card Report)并修改了目录的权限

并对服务比对校验发现存在异常服务
服务名称为:
dqqwtw
Microsoft .NET Framework TPM
已启动
自动
本地系统
kwxcue
Microsoft .NET Framework TPM
已启动
自动
本地系统
mburxc
Microsoft .NET Framework TPM
已启动
自动
本地系统
Smart Card Removal Policy
 
已启动
自动
 
而从系统日志中可以看到服务的安装时间最早的为2018年1月22日,其他服务最晚是在9号安装完成。

根据服务启动进程和加载的dll发现更多恶意文件,并在系统HOSTS文件中,发现多个矿池地址,最后修改日期为4月3日。

使用杀毒软件对全盘进行了扫描,共发现病毒文件将近20个左右
发现Content.IE5一个文件夹中存在很多临时文件,里面发现挖矿安装软件,日期大概也是2018年1月22日

通过查看网络连接发现多个可疑ip地址,以及对内网部分ip的连接
TCP
172.16.1.100:49220
112.90.77.177:80
CLOSE_WAIT
2664
TCP
172.16.1.100:49268
192.168.7.10:8001
SYN_SENT
1272
TCP
172.16.1.100:49269
116.113.111.54:8888
SYN_SENT
1164
TCP
172.16.1.100:49270
192.168.7.199:8001
SYN_SENT
1292
116.113.111.54   归属地为:内蒙古自治区呼和浩特市 联通

并根据网络威胁分析,发现和一个HFS挖矿的样本分析IP和端口相同,判断此ip为黑客c2控制端,主要作用为控制整个僵尸网络。
域名
a1.crsky.org
域名
a2.crsky.org
域名
crsky.org
ip
112.25.141.103
ip
116.113.111.54
通过对域名的whois查询发现注册人信息及联系电话,查询归属地为江苏 苏州  中国联通。

通过对域名分析并找到了多个HFS网络文件服务器,http://dh.crsky.org:5566/,在文件服务器中可以发现此次的病毒样本。

112.90.77.177  归属地为:广东省深圳市 联通,发现此ip开放了80端口。

怀疑此服务器为僵尸网络的更新地址及恶意文件下载服务器地址。
接下来我们分析下系统的日志,通过系统安全日志记录发现 一个ASP.NET用户在2018/1/3号晚上八点半左右对系统日志进行了清理。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载