安基網 首頁 安全 攻防案例 查看內容

某高校3333端口挖礦木馬應急應急處理案例分享

2019-10-31 10:17| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一、背景介紹2018年以來,加密貨幣市場出現震蕩,很多幣種幣值較年初都有一定程度的縮水,但是由于“免費電”挖礦這種零投入模式的存在,幣市降溫似乎并沒有給各類挖礦木馬的傳播者造成太大的影響,挖礦木馬仍然是黑產團伙重要的盈利點。對于高校內部安全來說,無論是辦公、教學、科研還是數據中心等環 ...

一、背景介紹


2018年以來,加密貨幣市場出現震蕩,很多幣種幣值較年初都有一定程度的縮水,但是由于“免費電”挖礦這種零投入模式的存在,幣市降溫似乎并沒有給各類挖礦木馬的傳播者造成太大的影響,挖礦木馬仍然是黑產團伙重要的盈利點。對于高校內部安全來說,無論是辦公、教學、科研還是數據中心等環境,挖礦木馬都可以被定義為高危威脅。

二、挖礦軟件來源

1、高校教職工、學生


如上圖是某挖礦軟件,在一些論壇或者社交網絡中,不難找到“免費”挖礦的踐行者分享經歷的信息。他們或利用手頭的辦公資源,或利用自身管理的服務器和其他網絡設備,通過部署礦機的方式進行挖礦行為。這種行為最直接的后果是:高校教職工、學生獲取不正當利益的同時,致使高校利益遭受損失。而一旦被發現,相關管理責任人也可能會因此承擔相應的法律責任。

2、主機感染


如果高校服務器密鑰管理不善或軟件補丁更新不及時,則可能因為弱口令、應用程序漏洞、服務業務漏洞(比如ftp、web和其中間件、數據庫)、操作系統本身漏洞等原因,被攻擊者成功入侵,植入惡意挖礦代碼。

一個比較突出的實例是:今年上半年由于Redis提權漏洞的出現,大量攻擊者利用該漏洞入侵Linux服務器進行掃描和挖礦,而被挖礦惡意代碼感染的服務器,從而導致性能降低甚至死機的狀況出現。

3、瀏覽器感染


上圖是門羅幣挖礦,幾年前,隨著加密貨幣價格持續走高,“瀏覽即挖礦”這一黑產模式出現在我們的視野當中。網頁中植入一段JS代碼,用戶瀏覽時即可在主機挖礦,在加密貨幣具備價值的前提下,這種變現模式比流量和廣告變現要容易得多。利益驅動下,多個網站,甚至廣告平臺被曝光網頁植入挖礦腳本的情形出現也就不足為奇了。

對于高校機構來說,相關人員瀏覽植入挖礦腳本的網頁,會對計算機性能、電力造成損耗,而高校網站如果因為安全問題被植入挖礦代碼,則是對高校信譽,乃至形象的損害。

三、新型挖礦木馬處理過程

1、行為分析

近日,某高校內網發現大量挖礦告警,告警端口為3333,產生告警截圖如下:



被感染主機會向境外等黑IP發送登錄信息,目標通訊端口為TCP 3333,登錄信息為明文,其中包含了用戶ID、算法等明顯電子加密貨幣通訊信息,為顯著的挖礦木馬特征,木馬執行目錄為如下路徑:



木馬回連登錄請求分析,如下圖所示,是一個明顯的電子貨幣登錄過程。



2、挖礦木馬的變種

在對高校進行安全服務的過程中,我們發現了大量挖礦木馬的變種情況,其中部分挖礦木馬,出現高度隱蔽性、傳播方式多樣、利用漏洞角度刁鉆等行為。其中某高校在文件上傳對應的.jsp類型webshell挖礦木馬如下圖代碼所示。具有高度隱蔽性,CPU占用率穩定控制在50percent左右,難以被發現,最后發現.loop計劃任務,排查啟動項和tmp目錄,定位尋找到具有挖礦代碼的jsp木馬,此木馬功能覆蓋linux和windows雙系統。隨著挖礦木馬的變種和利用手段增加,我們急需對高校業務端和主機端進行雙重漏洞排查,并進行加固,從根本上解決問題,以不變應萬變。



3、處理方法(僅對于此類型木馬)

此木馬應急響應處理方式:

1)netstat -ano查看異常端口請求3333

2)查看CPU使用率是否正常

3)刪除如下:


4)刪除啟動項異常進程

5)安裝木馬查殺防護軟件

6)更新服務器補丁和各類中間件版本

7)進行漏掃掃描、專業人工滲透或代碼審計和漏洞修復工作

目前,智圣新創運維工程師已逐一對我們的駐點用戶提供相應的安全加固服務,其中包括木馬排查、補丁更新、端口和服務的封禁工作。

四、總結及建議

網絡攻擊形式是有趨利性的,從傳統的木馬盜號到勒索軟件,再到現在各類挖礦木馬,本質上都是一個在盡可能短的時間內攫取更多利益的過程。現在很多面向個人和企業的殺軟也逐漸推出防挖礦功能,但是對高校來說,僅僅依靠殺軟在終端提供支持還遠遠不夠。需要的是從根本的漏洞修復、應急響應機制、人員行為管理角度去完善系統。

木馬的變種多種多樣,但是其根本原因無非就是利用漏洞植入一段執行特定功能的計算機程序。我們在對此程序分析的過程中,了解了此程序的特性,加以排除查殺,但是更重要的是如何讓此木馬程序無法植入系統,所以從漏洞修復的角度去進行加固,可以起到釜底抽薪的效果。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6752752609427194372/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧