攻防演练 | 网络安全应急响应典型案例(挖矿类)
2023-8-17 08:28:53 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

近几年,除勒索病毒外,挖矿木马也越来越流行,多为利用漏洞利用、“永恒之蓝下载器”、弱口令暴破等手段完成攻击,由于其具有较强的隐蔽性,会利用一些手段避开受害者活动时间,利用受害者空闲时间进行挖矿,长此以往,服务器、主机显卡或CPU长期占用过高,导致电脑性能降低,同时攻击者会利用已控制的挖矿主机攻击其他设备,导致业务中断甚至更严重的网络安全事件的发生。

1. 官网存在上传漏洞感染挖矿木马

(一) 事件概述

某日,某汽车集团发现网络异常,影响正常使用,安服团队接到应急响应申请,应急响应专家1小时内到达现场。

应急响应专家登录到异常服务器排查分析,发现该恶意程序通过PowerShell脚本执行,并会从C&C地址拉取PayLoad和远控程序,故判定为感染挖矿木马,进一步分析,发现该恶意软件具有蠕虫特点,能够通过网络自我复制传播,该木马的传播途径主要通过使用MS17-010(永恒之蓝)漏洞进行传播或使用在本机抓取的账号密码信息,登录其他机器进行传播。通过查看内部机器发现均未安装MS17-010补丁,且所有服务器均采用统一密码。

综上,攻击者利用该集团官网页面上传漏洞获取了服务器权限,投放挖矿木马,连接矿池并从C&C服务器中下载恶意payload,利用内部服务器未安装MS17-010以及所有服务器均采用同一密码的弊端,对其他服务器进行攻击,导致内网多台服务器中招,分别连接矿池,下载恶意payload,导致网络受到严重影响。

(二) 防护建议

  • 避免使用弱口令,应该在服务器登录账户和开放端口上的服务使用强密码;
  • 定期更新电脑补丁,使用正确渠道,下载对应漏洞补丁;
  • 应定期维护服务器,内容包括但不限于:查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、计划任务中是否存在可疑项;
  • 对系统文件上传功能,采用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则;
  • 部署高级威胁监测设备;
  • 建议在服务器上安装相应的防病毒软件或部署防病毒网关,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。

2. 误点恶意链接感染挖矿木马

(一) 事件概述

某日,安服团队接到某公司的挖矿木马事件应急响应请求,其内网多台终端被挖矿木马攻击,服务器卡顿、进程缓慢,无法正常运行。

应急人员到达现场后,对内网服务器、终端进程、日志等多方面进行分析,发现内网服务器、终端CPU被powershell进程占满,服务器、终端均开放135、139、445等服务端口,且均未安装“永恒之蓝”补丁。

经过分析排查,应急人员成功找到问题根源,并对病毒进行抑制、根除。本次事件主要是由于内部工作人员安全意识较低,点击恶意链接感染终端,然后通过被感染终端对服务器SMB弱口令进行暴破获取服务器账号和密码,并利用服务器作为突破口,对内网中有“永恒之蓝”漏洞的主机进行攻击,种植挖矿木马,并横向传播,意图感染内网其他终端。

(二) 防护建议

  • 系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现,尽量避免一密多用的情况;
  • 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
  • 关闭内网远程服务、共享等危险性服务端口;
  • 定期更新电脑补丁,使用正确渠道,如微软官网,下载对应漏洞补丁;
  • 服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
  • 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
  • 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
  • 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。

3. 软件升级包携带“永恒之蓝下载器”致专网感染挖矿木马

(一) 事件概述

某日,制造行业某企业遭受“永恒之蓝下载器”感染事件,专网近10家下属单位中毒,因病毒爆发导致正常业务中断。安服团队接到求助后,第一时间与该企业进行沟通,并协助进行处理。

1)现象为从2月11日windows服务器开始出现被恶意添加计划任务情况,多次删除后仍被添加,并且系统防火墙被无故开启影响企业自有系统运行;

2)上机查看后发现被新建的三项计划任务名称分别为:Ddrivers、DnsScan、WebServers,并在服务器上找到了对应的三个程序;

3)与此同时在C:\windows\temp\目录下发现存在两个可疑文件,分别是名为“m.ps1” 的Powershell文件及名为“mkatz.ini”的配置文件。经分析“m.ps1”为经混淆的mimikatz,而“mkatz.ini”则是通过mimikatz抓取出的本机操作系统账号密码等认证信息;

4)查看网络连接发现temp目录下的svchost.exe正在向内网10.*.196.*及外网170.*.239.* C段IP地址发起大量一对多的445端口的主动连接动作,疑似存在扫描攻击行为;

5)通过对操作系统排查,自2022年12月起,有大量IPC登录日志产生,甚至登录成功与失败的次数相当,其中10.*.196.*(SU***NG)存在大量失败及成功的次数,行为与暴力破解一致。并在2月10日计划任务起始时间前的早上5:53分仍有大量登录失败及少量登录成功的IPC登录动作;

6)通过文件威胁情报碰撞检测到进程中存在wannacry勒索病毒相关的样本程序正在运行,该恶意程序发起大量向各个互联网IP地址的445端口连接行为,存在可疑的永恒之蓝漏洞攻击行为;

7)通过沙箱对该程序进行检测发现该程序为10分恶意程序,主要标签为“下载者”、“漏洞利用”、“检测沙箱”、“加壳程序”。高危动作包括:安装自身来实现自启动、创建一个可疑的Powershell进程、创建一个可疑文件、创建m.ps1文件、创建可疑进程等动作;

8)其中,temp目录下的m.ps1文件由该程序svchost.exe所生成,同时发现存在WannaMiner挖矿蠕虫病毒,对恶意程序进行分析,获取到该程序发起部分固定链接的访问;

9)通过TI威胁情报大数据检测到i.haqo.net和p.abbny.com等链接与前期大面积爆发的黑客利用某第三方软件升级通道下发病毒木马感染传播有关;

10)采样了多台服务器,在另两台服务器上发现存在木马、挖矿蠕虫、漏洞利用程序。发现了前期黑客通过某第三方软件升级渠道传播病毒的行为及对应的恶意程序。

经过分析发现,是文件下发器在进行某第三方软件升级后,将该软件升级包进行全国下发,该第三方软件升级包携带的“永恒之蓝下载器”木马,具有外连矿池下载病毒木马、扫描暴破等功能,导致该企业内网及其专网近10家单位部分服务器、终端感染挖矿,蠕虫等病毒,正常业务中断。应急人员通过对该事件进行分析溯源,定位问题关键点,部署虚拟化杀毒平台进行病毒管控,帮助其降低损失。经过7个小时的事件应急处置,专网内下属单位业务已恢复正常。

(二) 防护建议

  • 对于重点服务器和主机,做好网络安全域划分并及时打MS17-010漏洞补丁,防止利用此漏洞的横向攻击;
  • 开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口;
  • 每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长;
  • 部署全流量监测设备,及时发现恶意网络流量,进一步追踪溯源。

4. “永恒之蓝下载器”致内网挖矿木马

(一) 事件概述

某日,安服团队接到某政府单位“永恒之蓝下载器”挖矿事件应急响应请求,其内网大量服务器出现服务器内存、CPU等资源被恶意占用,导致部分服务器业务中断,无法正常运行。

应急人员到达现场后与该单位沟通得知,服务器于一周前存在大量445连接,随时间增长,服务器资源被耗尽,导致业务无法正常工作。通过对内网服务器、终端进程、日志等多方面进行分析,根据应急响应人员现场排查的结果,判定内网服务器所感染病毒为“永恒之蓝下载器”挖矿蠕虫病毒,该病毒会利用永恒之蓝漏洞在局域网内进行蠕虫传播,窃取服务器密码进行横向攻击,并且会创建大量服务耗尽服务器资源。通过使用编写的批量查杀脚本,对网内机器进行查杀病毒,大大降低网内恶意流量与病毒对资源的占用,恢复了正常业务。

(二) 防护建议

  • 对检测阶段发现的攻击源IP地址进行重新查杀,条件允许情况下重装系统重新部署业务;
  • 安装天擎最新版本(带防暴破功能)和天擎服务器加固防止被黑;
  • 建议部署全流量监控设备,可及时发现未知攻击流量以及加强攻击溯源能力,有效防止日志被轮询覆盖或被恶意清除,有效保障服务器沦陷后可进行攻击排查,分析原因;
  • 建议对内网开展安全大检查,检查的范围包括但不限于后门清理、系统及网站漏洞检测等;
  • 尽量关闭3389、445、139、135等不用的高危端口,建议内网部署堡垒机类似的设备,并只允许堡垒机IP访问服务器的远程管理端口(445、3389、22);
  • 对系统用户密码及时进行更改,可并使用LastPass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储。

5. 安全防护不到位致终端和服务器感染挖矿木马

(一) 事件概述

某日,安服应急响应团队接到应急请求,医疗行业某单位网内约1000多台终端和服务器存在大量病毒,客户机不定时重启、蓝屏,严重影响业务系统的正常运行。

应急人员通过对相关进程、文件、服务进行排查分析后,判断该单位内网失陷是由于感染“永恒之蓝下载器”木马,导致病毒泛滥。通过检查现场内网失陷主机,发现现场主机系统均未安装杀毒防护软件,C:\Windows目录下存在大量以随机字符命名的.exe文件,并在系统服务中发现大量该exe对应的服务。在分析天眼设备抓取流量时,发现内网共存在11种病毒,包括蠕虫病毒、挖矿病毒、勒索病毒、远控木马、僵尸网络等多种病毒,且发现主机高危端口如135、137、138、445端口均为开启状态并存在传播病毒的行为。除此之外,应急人员在检查过程中发现sqlserver数据库管理员账户密码与网内所有服务器均使用同一种密码,且该数据库服务器未安装任何安全防护设备,使得木马快速在内网扩散,并存在大量外连行为,导致大量机器沦陷。

(二) 防护建议

  • 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
  • 有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;
  • 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
  • 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
  • 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
  • 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

6. SSH私钥本地保存致虚拟机感染挖矿木马

(一) 事件概述

某日,安服应急响应团队接到某互联网公司请求,其安全部门发现公司内网数万台虚拟机感染挖矿木马,应急人员立即赶往现场进行排查和溯源工作。

应急人员对受害服务器进行分析,发现内网多台受害主机本地均存有内网其他机器的ssh私钥,并可以免密登录Ansible服务器。攻击者首先利用Consul组建远程命令执行漏洞进入内网,下载并运行挖矿木马,并利用保存在本地的ssh私钥进行横向扩散,感染Ansible服务器后,通过ansible/salt/knife进行大量传播,最终导致内网数万台虚拟机均受影响。应急人员立即采取行动,对挖矿木马产生的密钥认证文件、可疑计划任务项、木马守护进程以及挖矿木马创建的恶意文件进行清理。

Ansible是一种可批量管理服务器的开源自动化工具,管理员可以通过 Ansible 在成百上千台计算机上同时执行指令(任务)。本次事件中,数万台虚拟机受到感染,Ansible服务器的沦陷是导致挖矿木马大量传播的主要因素,企业应当对此类重要服务器进行充分的保护和隔离,避免其被攻击者掌控,造成不必要的损失。

(二) 防护建议

  • 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用、密码本地保存等情况出现;
  • 重要业务系统及核心数据库应设置独立的安全区域,做好区域边界的安全防御工作,严格限制重要区域的访问权限并关闭不必要、不安全的服务;
  • 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;
  • 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
  • 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
  • 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

7. 网站存漏洞致服务器感染挖矿木马

(一) 事件概述

某日,安服应急响应团队接到某大型企业的应急响应请求,该企业服务器存在被种植挖矿木马病毒程序,态势感知出现病毒告警,要求对服务器后门进行排查,同时对攻击来源进行追溯。

应急人员经过排查,发现该企业内部有70台服务器受到SystemdMiner挖矿木马最新变种病毒的感染,存在内网横向传播的情况,且服务器中均未安装杀毒软件。通过对病毒样本和受感染机器的日志分析,确定攻击者利用该企业官网服务器漏洞获得网站服务器控制权限,通过扫描暴破获得堡垒机主机权限,并对内网多台服务器安装FRP反向端口代理工具,并上传SystemdMiner挖矿木马程序,配置计划任务,定时连接矿池域名,又利用Consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令漏洞入侵IDC机房其他主机操作系统,利用自动化运维工具(salt/ansible/chef-knife)横向传播,利用失陷主机本地保存的 SSH 密钥传播自身。

最终,确定攻击者通过官网漏洞获得网站服务器控制权限,通过扫描暴破获得堡垒机权限,并部署Frp代理工具。通过堡垒机登录多台服务器,部署扫描工具进行内网扫描,并通过“自动化运维服务器”下发挖矿程序, 利用“自动化运维服务器” 部署Frp代理作为跳板横向传播,最终控制近70台服务器。

(二) 防护建议

  • 将已检测到的矿池相关非法域名,通过安全防护设置将其加入黑名单列表,并设置安全策略为阻断访问;
  • 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,加强内部人员安全意识,禁止密码重用的情况出现;
  • 增强内部人员密码管理意识,禁止将密码进行本地保存;
  • 建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒发现及清除能力;
  • 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化。

8.服务器使用弱口令导致感染挖矿木马

(一) 事件概述

某日,某大型煤矿集团一台服务器发现感染挖矿蠕虫病毒,往同段其他服务器445以及6379端口发送大量感染数据包,服务器自身CPU利用率较高,机器卡顿,严重影响正常业务的使用。安全服务人员紧急向该煤矿集团进行现场应急响应服务。

安全专家发现受感染的服务器向内部某网段发送大量攻击数据包,并不断连接外部矿机地址,结束进程后会自动重启,相关病毒文件删除后会自动生成,存在守护进程。采集受感染服务器的系统日志并获取挖矿病毒文件的落地时间分析发现,攻击者使用通用弱密码123.com对服务器发起暴破行为并暴破成功,通过某台服务器进行暴力破解服务器RDP服务进行工具自动化投毒,导致服务器被挖矿蠕虫病毒感染。

(二) 防护建议

  • 对已受感染的主机清理病毒进程,删除相关病毒文件,停止恶意服务;
  • 加强资产上的服务口令复杂度,杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码;
  • 有效加强访问控制策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口;
  • 部署工业主机安全防护系统,采用基于智能匹配的白名单管控技术、基于ID的USB移动存储外设管控技术、以及入口拦截、运行拦截、扩散拦截关卡式病毒拦截技术,防范恶意程序的运行、非法外设接入,从而进行全面的工业资产、安全风险集中管理,实现对工业主机/服务器的安全防护。

9. 应用服务平台使用弱口令导致感染挖矿木马

(一) 事件概述

某日,安服团队接到某政府部门应急请求,其安全设备检测到挖矿木马外连告警,内部多台服务器感染挖矿木马,需要进行排查分析并溯源。

安服应急人员到达现场后,通过排查安全设备告警日志、受害主机日志以及对木马样本进行分析发现,内网多台Web应用服务器对外开放SSH服务22端口并且使用相同的弱口令、多台受害服务器均被植入SSH扫描暴破脚本和挖矿木马程序,并设置为开机自启动。

经过最终研判分析确定,攻击者首先对网站应用服务平台进行端口探测,发现开放22端口SSH服务,对SSH服务进行弱口令暴破成功登录服务器,随后植入挖矿木马和SSH扫描暴破脚本并添加至服务器自启动项,攻击者采用相同的密码利用SSH扫描暴破脚本对内网服务器进行暴破,并植入挖矿木马,最终导致内网多台服务器沦陷。

(二) 防护建议

  • 封禁攻击者服务器IP、修改失陷机器的用户密码;
  • 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
  • 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
  • 采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。

10. U盘未管控导致主机感染挖矿木马

(一) 事件概述

某日,接到交通运输行业某单位应急响应请求,其办公网内大量主机感染病毒,并且存在大量国外地址通讯行为,希望对办公网内失陷主机进行排查分析并溯源。

应急人员到达现场后,结合天眼告警及日志进行分析研判,确认失陷范围为多媒体教室的20台主机。应急人员对病毒样本进行分析,确认该病毒为新型WannaMine4.0变种,同时确认该病毒中毒时间的唯一性特征是病毒向注册表新建LastBackup键值的时间,并追踪到最早感染病毒的主机为教师机x.x.x.18。因中毒时间段失陷主机无法访问互联网,失陷主机所在网段为独立网段,可排除主机自身上网下载恶意文件或通过局域网内传播感染的可能性,对教师机x.x.x.18系统使用痕迹进行分析确认该主机的病毒来源为U盘传播。应急人员对失陷主机进行系统运行环境检测分析发现,失陷主机均为windows xp系统,且基本未安装漏洞相关补丁和杀毒软件。

应急人员通过对排查结果分析研判,确认本次安全事件是因为该单位在多媒体教室的教师机上使用了携带木马病毒的U盘造成主机感染门罗币挖矿病毒(WannaMiner),利用ms17-010漏洞横向传播,最终导致20台主机失陷。

(二) 防护建议

  • 建议部署病毒防护软件,对移动存储设备进行查杀,在确定无病毒的情况下,再进行其他操作;
  • 非业务需要,禁止未授权移动存储设备接入主机,应使用白名单的方式只允许可信任移动存储设备接入;
  • 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
  • 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制。

文章来源: https://www.freebuf.com/defense/375180.html
如有侵权请联系:admin#unsafe.sh