吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16378|回复: 25
收起左侧

[转载] 【转帖】新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟

  [复制链接]
默小白 发表于 2019-5-23 09:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

转自:https://xz.aliyun.com/t/5235

近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙。我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名。

Xulu并不是第一个攻击Docker的恶意挖矿团伙,但它不同于其他僵尸网络。Xulu感染一台服务器后,并不对外进行大规模扫描,而是使用OSINT技术,即利用开源情报,动态地从shodan网站获得可能的“猎物”ip列表。

此外,Xulu僵尸网络将自己的服务器放在Tor洋葱网络中,这使得对幕后黑手的追溯变得更加困难。

img

会挖矿的恶意Docker镜像

Docker容器是一个开源的应用容器引擎,可以让开发者打包他们的应用及依赖包到一个轻量级、可移植的容器中,从而在不同环境中可靠运行。

近年来随着微服务的流行,越来越多的企业在部署应用时使用容器,然而在这一过程中安全往往没有得到应有的重视,导致Docker容器在多起事件中成为网络攻击的靶子。

在本次Xulu僵尸网络事件中,我们注意到沦陷服务器上都被创建了镜像名为zoolu2/auto的恶意容器。

img

这些恶意容器中运行着如下进程

img

其中的挖矿进程很容易分辨:

/toolbin/darwin -o us-east.cryptonight-hub.miningpoolhub.com:20580 -u xulu.autodeploy -p x --currency monero -i 0 -c conf.txt -r

尽管miningpoolhub.com是公开矿池,但由于它不提供每个用户的历史收益数据,我们无从得知攻击者从恶意挖矿中总共赚了多少钱。

僵尸网络的传播和持久化

Xulu僵尸网络进行自身的传播和持久化的过程中,使用了OSINT技术并借助了洋葱网络。

img

首先,该僵尸网络的控制服务器地址是http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion 。".onion"后缀表明这是一个必须通过洋葱匿名网络访问的“洋葱服务”(又名“隐藏服务”)。

该僵尸网络以/toolbin/shodaemon作为守护进程:

img

不难看出该脚本下载了http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt ,与本地硬编码的/toolbin/hcode.txt文件内容一起存入search.txt

img

运行/toolbin/shodan,读取search.txt的列表并对shodan发送如上图所示的查询。

这些查询会返回互联网上一系列开放了Docker服务(2375端口)的主机ip。尽管这些主机并非每个都存在漏洞,但攻击者仍然通过使用shodan的信息,避免了大规模扫描的进行。

img

在获取了使用Docker服务的主机列表并去除重复ip后,已沦陷的主机会向表中ip发送docker run命令,其中未授权访问漏洞的Docker服务将被部署"zoolu2/auto"恶意镜像,从而完成蠕虫的传播。

此外,Xulu僵尸网络还会每30分钟下载并执行从http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt 下载的脚本,从而保持自身在受害主机上的活跃。

受害规模和安全建议

在docker hub官网我们可以看到,前文提到的"zoolu2/auto"已被下载超过1万次:

img

并且僵尸网络作者似乎仍在积极开发变种:

img

为了避免您成为此种恶意入侵和挖矿事件的受害者,阿里云安全为您提供如下安全建议:

不要将对内使用的服务(如Docker)开放在互联网上,应使用ACL或复杂密码等措施来保证仅有受到信任的用户才可以访问这些服务。

因为基于洋葱网络的“隐藏服务”已被用于多个僵尸网络的传播,不常使用洋葱网络服务的用户可以使用如下命令对其进行屏蔽:echo -e "\n0.0.0.0 .onion" >> /etc/hosts

我们推荐您使用阿里云下一代防火墙,因为它在阻止、拦截此类需要外联的攻击时十分有效。用户将在AI技术的帮助下,免于恶意挖矿事件的困扰

我们同样推荐阿里云安全管家服务。该服务的用户可以就碰到的问题随时咨询安全专家。安全专家还可以帮助用户进行安全加固、事件溯源、蠕虫清理等

IOC

img

Reference

https://www.alibabacloud.com/blog/dockerkiller-threat-analysis-first-instance-of-batch-attack-and-exploitation-of-docker-services_593947

https://www.docker.com/resources/what-container

免费评分

参与人数 7吾爱币 +7 热心值 +5 收起 理由
伞兵 + 1 + 1 我很赞同!
itmaple + 1 我很赞同!
dxhack + 1 + 1 我很赞同!
x020406 + 1 看雪有专题详解。
清炒藕片丶 + 1 + 1 这样的文章太好了,要是再能小白点就好了,是不是一般的电脑他们看不上?
sunnylds7 + 1 + 1 热心回复!
sgly + 1 + 1 那么请问各位,怎么才能查杀自己电脑有没有中挖矿脚本?麻烦回复9楼

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

不懂破解 发表于 2019-5-23 09:43
中病毒,中流氓软件,中全家桶已经过时。跟紧时代的步伐中个挖矿脚本才是潮流
不懂破解 发表于 2019-5-23 09:53
本帖最后由 不懂破解 于 2019-5-23 09:55 编辑
a5680497 发表于 2019-5-23 09:38
我只知道比特币挖矿,这和比特币有没有什么关系??

个人理解:正常途径是用自己的机器来进行比特币等其他虚拟货币的挖矿操作,而这个是利用病毒感染世界上所有服务器,用植入的挖矿脚本占用他人服务器的资源来帮自己挖矿赚钱

当然普通的个人电脑也可能会被植入挖矿脚本,沦为他人获利工具,具体表现 CPU/GPU 占用极高,程序响应慢甚至卡顿卡死,比如:前段时间某百度云下载的油猴脚本就被恶意植入过挖矿脚本(被群众发现后作者果断移除挖矿脚本,然后留言欢迎继续下载,脸皮无敌。。。)
a5680497 发表于 2019-5-23 09:38
我只知道比特币挖矿,这和比特币有没有什么关系??
渣渣奶 发表于 2019-5-23 09:42
牛逼, 不只比特币能挖还有很多可以哇捏
人到中年 发表于 2019-5-23 10:02
长知识了
蓝碗白饭 发表于 2019-5-23 10:13
现在来看以前的病毒木马什么都弱爆了,哪比得上现在都用挖矿脚本,藏得深一点就神不知鬼不觉
q348114971 发表于 2019-5-23 10:50
现在都用挖矿脚本
sgly 发表于 2019-5-23 11:17
那么请问各位,怎么才能查杀自己电脑有没有中挖矿脚本?
teaook 发表于 2019-5-23 11:53
感觉好怕怕!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表