Linux应急故事之四两拨千斤:黑客一个小小玩法,如何看瞎双眼
|
副标题[/!--empirenews.page--]
某日,深信服刘同学,一位办事处拥有多年应急经验的老手,像往常一样忙碌而娴熟的处理所在区域的各种安全应急事件。突然,某客户求助,称深信服的安全感知产品检测到了异常威胁,需要协助分析处置。 1. 刘同学 刘同学打开安全感知平台,找到对应主机,发现报的是虚拟货币挖矿。刘同学会心一笑,挖矿检测有近乎100%的准确率,抓个挖矿小病毒,跟日常打怪一样简单。
但是接下来的事情,突破了刘同学的认知,差点看瞎他的双眼。 2. 看瞎双眼 那是一台Linux服务器,刘同学通过ps命令就轻易定位到了挖矿进程,但是接下来的事情并不轻松,他尝试了各种方式,始终无法找到挖矿进程对应的文件。
这种不合常理的现象,令他百思不得其解,甚至怀疑中了rootkit病毒,但尝试rootkit扫描工具,仍然一无所获。 挖矿进程对应文件指向两处,一处是 /usr/sbin/apache ,一处是 /tmp/.ICE-unix/. ./m 。 但是无论他使用何种命令,甚至逐一检查了rc.d、crontab、init下面的各种启动项,翻遍了临时目录、用户目录、进程目录……花费了很多时间,望眼欲穿,都无法找到哪怕一个病毒文件。 cd到对应目录,使用ls -al就是看不到任何可疑文件,按道理应该不会自删除。
刘同学向总部请求协助的时候,表示自己“已经瞎了”! 3. 柳暗花明 总部EDR安全团队接到这个协助请求的时候,还是有很大压力的,同时也联合了安全感知的安全专家参与分析。 刘同学一直是娴熟的应急人员,能让他“看瞎”的,并不多,可能水比较深。 总部安全专家远程接入后,也按照刘同学提供的信息,进行一一确认,同样也没有找到有效信息。 接下来,使用大法,直接把挖矿进程的内存dump出来,观察其关键字符串。 使用strings -n 8将字符串过滤出来,看到如下信息:
这引起了我们的警觉,总感觉哪里不对。 我们重新再cd到/tmp/.ICE-unix/,再一次使用ls -al查看该目录下面所有文件。
停在这里(上图),大概盯了有好几分钟时间,陷入了沉思…… 突然,再一猛看,端倪就出来了,某个字符貌似不对。仔细观察上图(后期特意放大了几倍),倒数第三行,貌似不对,它的两个点“空隙”比别的稍微“大”了那么一丢丢(要拿尺子量的那种大,目测毫米级别) 。
真实远程界面,一般字体都非常小,上面是正常的画面(大屏小字体),这边后期加了黑色背景来体现差异。所以,每次进入到这个目录,刘同学就自然而然的以为只有“.”和“..”,殊不知,还有一个“. .”(这里面的两个点之间是有一个空格的)。 一个点是当前目录,两个点是上级目录,两个点加个空格就是一个全新的目录。 再往上翻,dump内存引起我们警觉的那一行,回头一想,ASCII码40就是表示空格啊! 4. 样本剖析 要进入那个吊诡的文件夹,还不能直接cd . .(注意,这两点之间有空格),需要cd “. .”,即加一个双引号,防止转义。 该文件夹下一共有10个文件,其中x、a、u、r为恶意脚本,?、b、c、d,h和m恶意可执行文件。
执行流程 x -> a -> u -> r -> h (隐藏 & 运行 m ) -> m (挖矿),为了执行真正的挖矿,绕了一大圈。 入口脚本x (以下所有#标注的汉字,均为我们后期备注说明)
释放脚本a
清除脚本u
启动脚本r,如下图,进程路径同时也伪装成了/usr/sbin/apache,是一个不存在的路径。
(编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
