一次SSH爆破攻擊haiduc工具的應急響應

一顆小胡椒2022-06-23 06:21:25

概述

2022年3月底，我安服團隊在網絡安全監測中發現某網絡攻擊組織利用SSH爆破投放挖礦程序的活動比較活躍，主要涉及的是一個haiduc的工具。

檢測定位階段工作說明

1、異常現象確認

服務器被植入木馬病毒，并對內網進行暴力破解。本次發起暴力破解的主機為10.101.2.210。

2、溯源分析過程

通過態勢感知查看暴力破解檢測日志，發現最早從2月16日凌晨3點半左右出現暴力破解告警情況，攻擊源為10.101.2.210服務器。

抑制階段工作說明

臨時配置防火墻禁止101.2.210訪問其他區域服務器22端口；

修改服務器10.101.2.210弱密碼為強口令；

根除階段工作說明

1.進程分析：ps -ef 查看運行進程，發現大量sshd命令

2.通過異常進程PID查看惡意程序，發現指向usr/share/man/.md/haiduc這個文件

3.進入到指定文件夾目錄下

4.拷貝下來進行病毒分析

上傳微步沙箱分析

5.進行目錄文件解剖（存在爆破IP和賬號密碼信息）

6.登錄安全：ssh免密登錄排查,未發現配置有可疑的ssh免密登錄keys

7.服務器最近登錄日志分析

其中：10.100.2.40、10.100.2.80、10.17.250.179為工程師IP。
最早登錄時間：2月16日 03:34 ，登錄IP：10.100.2.211

8.查看最近爆破登錄日志,該機器發現有被ip10.101.31.4進行ssh爆破的記錄，最早時間3月12日，未發現其他爆破情況；

9.賬號異常排查,分析：未發現異常可疑賬號

10.查看歷史操作日志,分析：發現惡意腳本haiduc被執行的記錄和遠程下載惡意文件的記錄

11.自啟動項分析,未發現異常

12.計劃任務,未發現異常

13.根除

（1）修改弱口令為強復雜度扣口令

（2）Kill -9 haiduc 強行殺毒惡意進程后，進程斷開

殺死進程前

殺死進程后

（3）刪除對應的文件目錄和文件

截止目前，服務器惡意進程停止和態勢感知惡意告警消失。

通過分析判斷，極有可能主機10.101.2.210于2月16日凌晨3點前后被植入病毒文件，并通過SSH爆破的方式進行內網傳播。經過對病毒的傳播方式進行分析，很可能為ip 10.101.2.211登錄該主機遠程下載惡意文件haiduc導致。對進程和病毒文件進行清理之后，病毒未復發。

跟蹤階段工作說明

截止目前，病毒未復發，未發現木馬病毒二次擴散傳播，待后續繼續跟蹤觀察網絡安全態勢和告警。

網絡安全ssh

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接