本帖最后由 朱容成51537 于 2021-5-13 17:38 编辑
1. 事件描述 客户在我们态势感知上查看到有台服务器中了systemdMiner挖矿病毒,但使用杀软查杀并没有查杀出任何问题,怀疑我们SIP误报,需要我们给出举证
2. 事件排查 登录服务器,查看进程,没有发现可疑进程,CPU使用率也正常,并无挖矿迹象:
查看连接状态,查询到50010端口有大量CLOSE_WAIT状态连接,疑似异常行为:
具体查询为本机服务端口,有对外服务器但被防火墙拦截,判断非异常端口:
从tmp目录查询到存在systemdMiner挖矿病毒残留文件,此文件为systemd-login-ddg systemdMiner团伙通过 DDG 的网络基础设施下发的一个最主要的恶意程序systemd-login-ddg ,通过删除自身文件,创建守护进程并把进程号写入 /tmp/.X1M-unix 文件:
进入.X11-unix可查看到历史进程PID11167于6214,
通过PID查看病毒进程已被结束
查看文件建立时间为8月27日18:30分由用户tsb创建:
在tsb用户目录下查询到.systemd-login隐藏文件,此文件为systemdMiner病毒用来开机启动执行的脚本文件 /lib/systemd/systemd-login ,会从 C2 服务器下载 cron.sh 文件并执行。cron.sh 是经过高度混淆的 Shell脚本,最后,systemd-login-ddg 会继续执行一系列经过Base64 编码的 Shell 脚本。 该脚本共有 3 个关键函数,作用分别是: s1() : 向rapid7cpfqnwxodo.tor2web.fyi/slave 上报失陷主机信息。把失陷主机的当前用户名、CPU 架构、主机名以及当前用户的 cron table 4 组信息,拼接接成一个字符串,经过 Base64 编码后,设置为 HTTP 请求的 referervaule,以 HTTP GET 请求的方式发送到 C2; s2(): 从 C2 下载 systemd-resolve 文件并执行,system-resolve 集成了 YARN 未授权访问漏洞的 Exp,并以此传播; s3(): 利用 3 种 *nix 自动化运维工具 (ansible/salt/chef-knife) 和本机 SSH 密钥横向传播。横向传播用到的 Shell 脚本也经过了Base64 编码
原始脚本经过 Base64 编码,解码后如下: 3. 事件结论
以上证明此主机曾经中过systemdMiner病毒,并在9月6日已被其他管理员查杀清除。因此再用杀软查杀无法扫除。且SIP告警时间停留再9月6日。证明SIP判断准确
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-5-14 21:55
坚持每日学习打卡
技术员3级 
