根据某省超算平台中心应急响应工作要求,针对超算中心提供的超算平台服务器(172.16.0.x)及相关服务器进行应急响应,发现此次挖矿事件中被黑客利用的漏洞和系统脆弱点,还原整个攻击过程,恢复服务器正常业务运转,并提供应急响应报告和系统整改意见。
通过可控的应急响应技术对受影响的相关系统服务器和终端进行事件分析和风险排查,对被利用漏洞进行定位和验证,以及还原具体攻击路径。本次应急响应将采取以下技术方法:
| 日志分析 | 通过对应用日志、系统日志、中间件日志和安全设备日志等进行攻击痕迹和可疑访问行为等进行分析,发现服务器和终端存在的安全隐患和黑客的攻击路径。 |
|---|---|
| 攻击溯源 | 通过对攻击者在服务器和终端上留下的痕迹进行逐步分析,如系统日志等,从而逐步还原攻击者的攻击路径和利用的漏洞。 |
| 程序沙箱分析 | 通过对服务器和终端上发现的恶意程序进行沙箱分析,代码分析,从而识别恶意程序的逻辑,恢复服务器业务或系统正常,如分析病毒程序,破解病毒原理进行服务器恢复等。 |
| 工具类型 | 应急工具名称 |
|---|---|
| 日志分析 | LogViewPro、Papertrail、elk等 |
| 后门与webshell扫描 | D盾、WebShellKiller等 |
| 攻击溯源 | Wireshark、Dsniffer、LogViewPro等 |
| 恶意程序分析 | IDA pro、winhex等 |
| 漏洞验证 | Metasploit、sqlmap、burpsuite、CVE利用脚本等 |
2025年08月27日9:30到达客户现场,通过客户针对此次应急事件沟通,发现客户已采取措施:
- 中断服务器(172.16.0.167)连接互联网
- 通过出口山石防火墙对访问SSH端口进行限制
- 172.16.0.167服务器已经经过两轮的人工查杀
查看态势感知告警,在8月16日晚上19:45分出现frp代理工具事件告警 攻击IP为45.79.108.110,位置归属在美国加利福尼亚,威胁情报也标记此IP为反向代理 通过态势感知拉取8月16日的所有日志,发现在19点17分的时候,使用cip.cc域名对出口IP进行探测,此时攻击者获取了172.16.0.167服务器的权限。 其次在19点23分的时候,攻击者通过167服务器访问39.106.248.18,下载了两个tgz文件,文件名为l1.tgz和l.tgz 其中针对l.tgz进行解压,解压完之后是l.tar压缩包,对l.tar进行解压,解压完成之后得到lan文件夹,打开lan文件夹发现是内网代理frp工具,并且转发了SSH端口 然后对l1.tgz进行解压,得到l1.tar压缩包,对l1.tar进行解压,解压完成之后得到Localroot-ALL-CVE文件夹,发现是Linux系统提权脚本 从态势感知上分析19点23分之后,攻击者开始挂上frp内网代理软件 一直持续到20:02左右,攻击者下载了g.tgz和tunnel文件 下载2个文件进行分析,在下载的过程中,杀毒软件直接报bitcoin挖矿病毒,并且查杀了 找回文件进行解压得到两个文件go和mihner 通过沙箱分析证明minhner是挖矿病毒程序 go为后门植入恶意脚本,复制mihner挖矿病毒到系统随机名称文件,并且删除miher、go、g.tgz等原始恶意挖矿病毒。 针对tunnel文件进行下载分析,发现是红队gost代理工具 在20:03执行了挖矿病毒程序,开始连接45.33.69.138、192.81.128.77矿池地址 通过态势感知上发现,在20:15分,攻击者通过167服务器访问97.107.137.164和39.106.248.18,下载了cart.tgz文件 解压cart.tgz,得到了三个文件top、uptime、w,推测为命令替换+后门驻留 通过态势感知分析在20:09分,攻击者通过167服务器访问39.106.248.18,下载了proxy2022.tgz文件 杀毒软件提示为bitcoin挖矿病毒 分析为xmr门罗币的挖矿程序,钱包地址如下 "42tGCaozbTPj3rgikVBb8iEBem23cBnx6N1BhAcKZ2VLXMt5wAFSTKWTiL6dm356bnZxo2rwZcaGYYSoqURcZ1yU6vjKrsq", 同时在态势感知上也发现了存在挖矿的安全事件 根据使用FRP代理工具的时间,去172.16.0.167服务器上查找相关的登录日志记录,发现在19:16:24时间发现了sc13003账号使用pwnkit提权工具进行提权的记录 检索SC13003账号的所有登录日志,发现入侵时间在8月16日 19:15:40,随后在19:16分开始执行提权操作,入侵的IP为47.94.16.87,在19:27又重新登录sc13003账号,重新执行了提权的操作,19:27分获取到了root权限后,登录了以下多个账号qqi1、csinspur2、chenzl、szj、nano005、whong2、sccjxt01、mxu14、hliu20一直持续到20:52分,退出登录。 随后根据提权的行为进行检索,发现在23点02的时候,账号SC13089也存在pwnkit提权行为,怀疑攻击方换了一个账号上线。 针对SC13089账号进行检索,发现攻击时间为8月16号晚上23点01分,攻击IP为47.94.16.87,入侵的账号为sc13089
事件结论如下,黑客在8月16日晚上19点15分通过IP-47.94.16.87登录了sc13003账号,随后通过pwnkit进行提权到root权限,在19点17分通过访问cip.cc域名确认出口IP位置,在19点23分,通过北京市阿里云服务器39.106.248.18下载了l1.tzg和l.tgz,经确认,这两个文件为frp和提权的脚本,在19点24分挂上了frp代理,实现内网穿透,一直持续到20点02分,通过39.106.24.18服务器下载了g.tgz和tunnel文件,经确认为mihner挖矿病毒和gost红队代理工具,在20点03分,执行了挖矿病毒,开始连接45.33.69.138和192.81.128.77矿池地址;在20点09分攻击者通过访问北京市阿里云服务器39.106.248.18下载了proxy2022.tgz文件,经确认为XMR门罗币挖矿病毒程序,在20点15分攻击方通过美国新西泽服务器97.107.137.164和北京市阿里云服务器39.106.248.18下载cart.tgz文件,替换系统命令top、uptime、w实现病毒隐藏,在8月16日晚上23点01分,攻击者通过47.94.16.87登录另一个账号sc13089上线并提权,一直持续到8月17日凌晨1点56分下线。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
