思思久久精品无码|久久一区二区精品综合|天堂亚洲aⅤ在线观看|国产日韩一区二区2022|搡老女人老91妇女老熟女|成人无码精品免费视频在线|在线人成精品视频在线观看免费|久久人人爽人人爽人人片av高

深度揭秘(安天網絡安全技術有限公司)安天官網,安天蜜網捕獲“利用ElasticSearch Groovy漏洞進行門羅幣(Dog)挖礦”事件分析,寶寶長一顆下牙的寓意,

保健品 nanfang 2023-07-09 00:39 140 0

1.安天app

概述 2019年6月13日,安天蜜網捕獲到利用CVE-2015-1427(ElasticSearch概述2019年6月13日,安天蜜網捕獲到利用CVE-2015-1427(ElasticSearch Groovy)遠程命令執(zhí)行漏洞的攻擊行為。

2.安天val

該漏洞原理是Elaticsearch將groovy作為腳本語言,并使用基于黑白名單的沙盒機制限制危險代碼執(zhí)行,但怎樣查看網站排名該機制不夠嚴格,可以被繞過,從而導致出現(xiàn)遠程代碼執(zhí)行的情況安天對此次事件進行了詳細的樣本分析,并給出預防及修復建議。

3.安天cert

樣本分析關鍵攻擊載荷從攻擊荷載  來看,攻擊者通過groovy作為腳本語言,向_search?pretty頁面發(fā)送一段帶有惡意鏈接為http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json腳本,進行惡意shell腳本下載,從而實現(xiàn)遠程代碼攻擊,并進行挖礦行為。

4.深圳安天網絡安全技術有限公司

圖2-1 數據包內容解密后核心代碼:

5.安天產品

圖2-2 核心代碼? 入侵腳本分析:init.sh攻擊者通過http://怎樣查看網站排名185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下載并執(zhí)行惡意腳本init.sh來植入Dog挖礦程序,同時對主機進行掃描等一系列操作。

6.安天edr

圖2-3 關閉防火墻之后執(zhí)行關閉防火墻、關閉selinux并釋放占用的資源、殺掉其他與挖礦相關的進程、設置定時任務(每30分鐘下載一次可執(zhí)行文件update.sh),獲取ssh權限,進行iptables規(guī)則轉發(fā)修改,同時清理相關操作歷史、日志等操作。

7.安天科技股份有限公司官網

圖2-4 檢查并殺死其它存在的挖礦進程

8.安天百度百科

打開鳳凰新聞,查看更多高清圖片圖2-5 設置定時任務

9.北京安天網絡技術有限公司

怎樣查看網站排名2-6 惡意腳本下載地址、備份地址以及大小設置

10.北京安天網絡安全技術有限公司官網

圖2-7 清理相關日志、歷史在此過程中,腳本會檢查sysupdate、networkservice 和sysguard這3個進程是否啟動,如果沒有則進行啟動。

圖2-8 當其中一個被kill掉后,調度文件重新啟動? 樣本分析:sysguard、networkservice、sysupdate三個樣本為go語言編寫并使用UPX加殼,對應的main_main函數結構分別如下:

圖2-9 sysguard-main_main函數結構

圖2-10 networkservice-main_main函數結構

圖2-11 sysup怎樣查看網站排名date-main函數通過與之前捕獲的systemctI樣本對比發(fā)現(xiàn),此次攻擊分成挖礦、掃描、函數調用三個進程進行調度并且在networkservice樣本中發(fā)現(xiàn)了相關漏洞利用函數和掃描函數。

圖2-12 networkservice掃描函數通過對比之前捕獲的樣本發(fā)現(xiàn)兩次攻擊手法類似,不同的是此次攻擊是通過sysguard、networkservice(掃描)和sysupdate三個進程共同進行的。

這也意味著,發(fā)現(xiàn)服務器被感染后要將這三個進程同時kill掉? 配置文件:config.json在下載的配置文件中,我們發(fā)現(xiàn)了多個礦池地址:表 2-1 礦池列表

圖2-13 配置文件受影響的服務及漏洞表3怎樣查看網站排名-1 受影響的服務和漏洞

IOC表4-1 攻擊IP

表4-2 URL

表4-3 MD5

預防與修復建議  預防建議:

 a) 確保系統(tǒng)與應用程序及時下載更新為官方提供的最新補?。籦)禁止使用弱口令密碼  ;c)定期檢查服務器異常,如CPU持續(xù)占用高、磁盤異常情況;d)安裝終端威脅安全防護產品--安天智甲終端防御系統(tǒng)安天智甲終端防御系統(tǒng)可以為您量身定制專屬安全基線,為您打造安全的內網環(huán)境;同時,文檔安全保護功能、全網病毒定點清除功能、以及國產操作系統(tǒng)的安全防護功能更好的解決您遇到的安全問題,保護您的服務器。

  修復建議:

a)斷網、備份重要的crontab,關閉或刪除定時任務:systemctl stop cro怎樣查看網站排名ntab或 rm -rf /etc/cron.d/*;b)鎖定crontab中的惡意文件;c)查看并殺掉病毒進程:同時殺掉sysguard、networkservice、sysupdate三個進程;

d)刪除病毒相關文件;e)確認無誤后,重啟服務器,安裝漏洞補丁,并采用安天智甲終端防御系統(tǒng)  進行預防和保護服務器的安全。

標簽列表