南部| 罗山| 新泰| 华山| 平凉| 榆中| 喜德| 武冈| BR88官网 fun88首页 阿克陶| 狗万manbetx 富裕| 高邑| 盐都| ca88亚洲城官方网站 化隆| 夏邑| 象州| dafabet手机版中文 康保| 浦北| 冠亚娱乐 临洮| fun88 manbetx 阳朔| bwin88 固始| 盐边| 和静| 壤塘| BR88 3344555.com 延安| 海南| 阿克塞| 手机版环宇浏览器下载 会宁| 佳木斯| 武鸣| 大宁| 栾川| 包头| 万博manbetx体育 徐水| 吴川| ww优德88 万博app 梓潼| 闵行| 西峰| 梅里斯| 锡林浩特| ca88.com会员中心 陵县| 万博体育2.0 巧家| 莒南| uedbet倒闭 聊城| 大发888bet 博管理 旌德| 柳城| 乌拉特前旗| 都兰| manbetx客户端 宣威| 新竹县| br88冠亚 万博体育1.0 湄潭| 鄂托克前旗| 南木林| manbetx 开阳| 小河| 范县| manbetx万博 大奖娱乐城 呈贡| 新密| 波密| 双柏| 韦德1946 dafabet黄金娱乐场 太康| 长治县| 石龙| 甘孜| 资中| 北宁| 文安| 周村| 嘉祥| 文山| 黑水| 冠亚娱乐 景县| 通化市| 双牌| 安西| 定日| 平凉| 龙游| 金昌| 大发dafabet 许昌| 万博manbetx官网 沙湾| 大发888官网 拉萨| 东山| 正定| dafa888bet 邵阳县| 陇西| 柘荣| 3344555 临桂| 襄垣| 博管理 香港| 潮阳| 和政| 化隆| 亚洲城娱乐官网电脑版 冠亚娱乐 循化| w88top 麦积| 玛沁| 连州| 巩义| opebet 文山| 晋城| 安县| 万博网页版登陆 龙山| 大发dafabet 邵武| betway必威 沙湾| BR88 石柱| 周口| 蓝田| 米脂| dafabet娱乐城 莆田| 农安| 青河| BR88 佳木斯| 石林| betway88 电白| 珠海| 西青| 临县| 广德| 五寨| uedbet娱乐 3344444 南汇| 义县| 冠亚娱乐 安阳| 留坝| 亚洲城官网下载 晋州| 鲁山| 万博体育投注介绍 德庆| 优德w88 新龙| 曹县| 安吉| 峨眉山| 淮南| 甘肃| 万博体育论坛 卫辉| 新万博体育 万博体育manbetx 冠亚br88 双柏| 奉化| 铁山港| 开封市| 尤溪| fun88手机版 阿拉善左旗| 镇巴| 冠亚娱乐 盂县| 延长| 大发888在线网址 仁怀| 新版ued官网 冠亚彩票 manbetx客户端 上杭| 麻栗坡| 无棣| w88top 博管理 印台| 务川| 黑龙江| 青海| 镇平| tb通宝娱乐官网娱乐 定安| 万博manbetx体育 海口| ca888 3344111 富拉尔基| 张家口| 万博manbetx 冠亚br88 章丘| w88 淄博| 抚远| 华山| 淮北| 肥城| br88冠亚 托里| BR88 五大连池| 新荣| 阿克塞| 柞水| 林甸| 安国| dafabet手机版登 dafa888 dafa888 狗万体育网站 九州娱乐 必发88手机版 塘沽| uedbet体育 盐源| 宁陕| 安达| 隆昌| 安岳| 烈山| bbin专用浏览器手机版 乐亭| 芜湖县| 定日| 辽源| 关岭| betway 清涧| fun88 万博app 台前| BR88官网 惠州| 阿图什| 八一镇| 讷河| 永昌| 广灵| uedbet体育 衡阳县| 冠亚娱乐 dafa888 永和| 鱼台| 呼兰| 兰州| manbet官网 景东| 88bifa.com 瓦房店| betway必威 dafa888bet 乐天堂娱乐 万博体育 通江| 同安| manbetx网页 冠亚娱乐城 百喜88 ca88亚洲城手机版网址 巴彦淖尔| 绥阳| betway88 太湖| dafabet真钱娱乐手机版 沁源|

北京冬奥会可持续性咨询和建议委员会成立

2019-01-17 14:52 来源:中华网

  北京冬奥会可持续性咨询和建议委员会成立

  betway必威2018-11-1609:34表观遗传时钟是依照人体组织或体液的DNA甲基化修饰改变作为预测衰老的生物标志物。人体这种调节能力属于正常的生理功能,保证身体能随时处理进入体内的酸性或碱性物质,使人体始终处于弱碱性状态。

2018-11-1609:32新华社悉尼11月15日电澳大利亚研究人员最新发现,在海水逐渐变酸时,成年南极磷虾能够维持体液的酸碱平衡,表现出适应海洋酸化的能力。如今滴滴忙于内部整顿,的确给了其他玩家一个进入的好时机,但车企对出行领域的运营与服务并不擅长。

  高端制造要着力在精密超精密制造方向、先进制造工艺与装备、测试与控制技术及仪器设备、关键基础件上实现重点突破。2018-11-1509:01安徽省合肥市包河区包公街道一处老旧锅炉房,经过10名设计师共同出资设计,改造成为一个集聚会、阅读、住宿等功能于一体的文化创意空间,成为合肥一处“新地标”,吸引了不少市民及外地游客前来参观。

  11月13日,村民在贵州省丹寨县嘎闹刺绣合作社挑选刺绣彩线。2018-11-1615:49上世纪80年代,在葛洲坝下江段还能经常见到误捕死亡或被船舶打死打伤的白鲟,后来就不常见了。

2018-11-1609:26记者从北京高级法院获悉:如今在北京,当事人不仅可以通过扫描微信二维码快速立案,而且可以通过在线调解系统,实现网上材料对接、网上证据展示、网上确认调解结果。

  2018-11-1517:27

  2018-11-1609:26买卖商品是商场最基本的功能,如果线下实体店退货体验差,让消费者不敢放心购物,这些商场就是主动把顾客推向了电商,无论有多么花哨的揽客手段,也留不住客。2018-11-1408:542018-11-1408:5311月13日,在贵州省丹寨县兴仁镇城望村,村民在探讨刺绣技艺。

  近日,云南省昆明市阳光明媚、气候宜人,不少市民和游客来到滇池大坝、大观公园等地,观赏前来越冬的红嘴鸥。

  2018-11-1609:27与人们出行密切相关的网约车领域,一边是安全、监管问题备受关注,一边是越来越多玩家入局。2018-11-1609:26

  2018-11-1609:34IPv6是用于替代现行版本互联网IP协议IPv4的下一代IP协议,可以为数以千亿的设备提供网址。

  33443332018-11-1609:35我国首座高温气冷堆示范工程土建工作已基本完成,目前工程处于安装、调试关键时期,将于2019年建成发电。

  据说唐朝的皇帝中大多喜欢玩马球。危起伟最后一次发现白鲟幼鱼是在1991年,之后,在2002年和2003年分别接触过两次白鲟误捕抢救。

  冠亚娱乐 万博体育贴吧 手机版环宇浏览器下载

  北京冬奥会可持续性咨询和建议委员会成立

 
责编:

事件分析 | 一起攻击者利用Redis未授权访问漏洞进行新型入侵挖矿事件

2019-01-17 87288人围观 ,发现 3 个不明物体 系统安全

*本文原创作者:hanochzhang、 jaryzhou,本文属于FreeBuf原创奖励计划,未经允许禁止转载

一、事件背景

近日,腾讯安全云鼎实验室发现一起针对云上服务器利用 Redis 未授权访问漏洞的入侵挖矿事件,和以往研究发现的入侵挖矿行为相比,此次入侵行为更具有针对性,主要瞄准大型云服务商提供的服务器,并且入侵手法更高级,具备扫描感染、进程隐藏等多种能力。

二、入侵分析

攻击者利用 Redis 未授权访问漏洞入侵服务器,写入 crontab 任务下载恶意脚本并植入挖矿程序。仔细分析此次入侵事件,有以下特点:

? 恶意脚本存放在 hxxps://pastebin.com 站点,下载链接频繁改变,方便隐藏,增加拦截成本;

? 通过受害者服务器感染更多有相同漏洞的外网服务器,使得难以追踪真实攻击源;

? 从 ident.me 站点获取要感染的 IP 地址,多是大型云服务提供商的服务器地址;

? 采用对抗手段,卸载安全产品,极有可能是针对云上服务器的入侵挖矿行为;

? 在 root 和 ubuntu 用户目录下写 SSH 公钥,并设置 iptables 禁止外网访问 Redis,后续可通过 SSH 后门入侵;

? 受害服务器访问 hxxps://2no.co/11Grb,记录受害者 IP 地址;

? 利用 Linux 动态链接库加载机制隐藏进程,使用 top 等命令不能发现异常进程,增加排查难度;

? 留存在系统上的恶意脚本功能不全,仅仅守护挖矿进程,隐藏真实的攻击手法;

? 挖矿程序经过 UPX 加壳处理,增加检测难度。

恶意脚本中定义的函数如下图:

1.png

由于脚本内容过多,下面先分析脚本的核心部分,再对部分函数进行细致分析。

1. 恶意脚本的核心程序如下:

2.png

恶意脚本首先访问 hxxps://pastebin.com/raw/SGM25Vs3, 返回内容为 noupdate 或 update;根据返回内容执行不同的流程,返回内容为 update 则调用 echocron 函数更新 crontab 任务,否则运行一系列函数下载挖矿程序、Redis 扫描等程序;最后访问 hxxps://2no.co/11Grb 记录受害者 IP,并且在服务器的 root 和 ubuntu 用户目录下写入 SSH 公钥,后续的入侵数据也提取到攻击者 SSH 访问的 IP 地址为103.87.9.40,属于3A网络运营商(cnaaa.com)。

3.png

2. 恶意脚本中的部分函数:

tables 函数:

4.png

tables 函数设置 iptables 规则,禁止外网访问 Redis 6379端口,运行本地访问6379端口。生成 /tmp/.tables 文件,作为 iptables 规则设置的标志。

uninstall 函数:

5.png

uninstall 函数卸载安全产品,生成 /tmp/.uninstall 文件作为卸载成功的标志。

python 函数:

6.png

python 函数执行一段 Python 代码,生成 /tmp/.tmpp 作为执行成功的标志。代码比较简单,解码 base64 字符串并调用 exec 执行,base64 解码后内容如下:

7.png

从 hxxps://pastebin.com/raw/eRkrSQfE 获取 base64 编码的内容,解码后执行。解码内容如下:

8.png

Python 脚本扫描外网开放6379端口的服务器,利用 Redis 未授权访问漏洞写 crontab 任务。脚本从 ident.me 站点获取要扫描的 IP 地址,生成B段 IP 地址列表,然后扫描这些 IP 地址,若存在 Redis 未授权漏洞,则写入 crontab 任务,内容如下:

9.png

站点 hxxps://pastebin.com/raw/5bjpjvLP,内容如下:

10.png

hxxps://pastebin.com/raw/Gw7mywhC 返回的内容和最初分析的恶意脚本内容一致,表明攻击者利用受害者的服务器去感染外网存在 Redis 未授权访问漏洞的服务器。

system 函数

11.png

system 函数从 hxxps://pastebin.com/raw/KqzUfgz0 下载脚本命名为 dns,存放于系统 bin 目录下,然后赋予脚本可执行权限,并写入crontab任务。dns 文件内容为

12.png

hxxps://pastebin.com/raw/9DTSBYBt 返回的内容,解码后发现仅保留了下载挖矿程序和写 crontab 任务功能,删除了 Redis 扫描,卸载安全产品等功能。将 dns 文件存放在服务器上,功能越少越方便隐藏攻击者的入侵手法。

top 函数:

13.png

top 函数从 hxxps://monero.minerxmr.ru/1/1535595427x-1404817712.jpg 下载恶意程序,主要功能是过滤挖矿进程,过滤进程名为 kworkerds。下载文件命名为 libdns.so,存放在系统 /usr/local/lib/ 路径下,然后将 /usr/local/lib/libdns.so 写入 /etc/ld.so.preload,这里是利用 Linux 的动态链接库预加载机制,是一种常用的进程隐藏方法,而系统命令 top 受这个机制影响的。因此在 Linux 上执行 top 命令并不能看到挖矿的进程。

downloadrunxm 函数:

14.png

downloadrunxm 下载挖矿配置文件,并根据服务器操作系统位数下载合适的挖矿程序。挖矿程序主要配置信息如下:

矿池地址:

stratum+tcp://x1.minerxmr.ru:56415

钱包地址: 

47eCpELDZBiVoxDT1tBxCX7fFU4kcSTDLTW2FzYTuB1H3yzrKTtXLAVRsBWcsYpfQzfHjHKtQAJshNyTU88LwNY4Q3rHFYA

下载的挖矿程序都经过 UPX 加壳处理,去壳后分析,发现使用了两种不同挖矿程序,一个是基于 https://github.com/xmrig/xmrig  源码编译的挖矿程序,版本为 XMRig 2.6.5,另一个是挖矿工具 xmr-stak,github 地址为 https://github.com/fireice-uk/xmr-stak,版本为v2.4.7。

三、攻击者信息

通过攻击者使用的 pastebin 站点的 URL 进行分析,发现使用的用户名为 SYSTEMTEN, 地址为 hxxps://pastebin.com/u/SYSTEMTEN

15.png

四、安全建议

利用 Redis 未授权访问漏洞读取 Redis 数据库中的数据,可能导致敏感信息泄露;恶意执行 Redis 提供的 flushall 命令清空数据,可能导致数据丢失;执行 Redis 提供的 config 命令进行文件读写操作,可能导致目标服务器被远程控制。为了避免正常业务受影响,云鼎实验室安全运营团队提醒企业务必高度重视,可按下述方式进行防护。

? 禁止外网访问 Redis

修改 redis.conf 文件,绑定本地 IP 或内网 IP,禁止外网访问 Redis

bind 127.0.0.1

? 修改 Redis 默认端口

修改 redis.conf 文件,将默认的6379端口改为其他端口

? Redis添加密码验证

修改 redis.conf 文件,设置 Redis 添加密码验证

requirepass mypassword

? 禁用高危命令

修改 redis.conf 文件,禁用远程修改DB文件地址

rename-command FLUSHALL “”

rename-command CONFIG   “”

rename-command EVAL     “”

? 低权限运行 Redis 服务

给 Redis 服务创建单独的user和home目录,并且配置禁止登陆,例如:

groupadd -r redis && useradd -r -g redis redis

? 采用腾讯云 Redis 数据库产品

腾讯云 Redis 数据库产品默认已进行加固且会由相关团队定期维护,不受该漏洞影响。

五、附录

IOCs:

● IP

103.87.9.40

167.99.8.184

● URL

https://pastebin.com/raw/9VbG2qrD

https://pastebin.com/raw/KqzUfgz0

https://pastebin.com/raw/SGM25Vs3

https://pastebin.com/raw/cAfrnxHu

https://pastebin.com/raw/wRrpixP3

https://monero.minerxmr.ru/1/1535595427x-1404817712.jpg

https://monero.minerxmr.ru/1/1537330544x-1404764619.jpg

https://monero.minerxmr.ru/1/1537410304x-1404764882.jpg

https://monero.minerxmr.ru/1/1537410750x-1566657908.jpg

https://monero.minerxmr.ru/2/1535175015x-1404817880.jpg

https://monero.minerxmr.ru/2/1535175343x-1566657675.jpg 

https://monero.minerxmr.ru/2/1534496022x-1404764583.jpg

https://monero.minerxmr.ru/2/1537410304x-1404764882.jpg

https://monero.minerxmr.ru/007/008/1534496022x-1404764583.jpg

https://monero.minerxmr.ru/007/1534496022x-1404764583.jpg

https://monero.minerxmr.ru/007/1535595427x-1404817712.jpg

https://2no.co/11Grb

x1.minerxmr.ru:56415

ident.me

● 样本 MD5

59d04962a3934303cd87f640daa725d1

ff7005e420393e3c18b264bdebe231e7

0497a86dc11e773d93deeb728da0f675

5ab9a32f2a864e2533b382b33c640858

e1a725cdb275e8f6140c2b94f0fbe2e8

a29678541358d595d88ab3c9e95ba29b

e6d66c765048e5c1a997276b6c962720

0497a86dc11e773d93deeb728da0f675

b7992c96303f995669ef0d5926c35ec1

39f37cc04b45210cfa44eeec6e1be283

76e7845eca279ab65783f5eb9ad9d8fb

9ed18ce3c758646ead9dcae17fbf9a95

c1e7f16b7de6fe03848a17333c7c49e0

● 矿池地址

stratum+tcp://x1.minerxmr.ru:56415

● 钱包地址

47eCpELDZBiVoxDT1tBxCX7fFU4kcSTDLTW2FzYTuB1H3yzrKTtXLAVRsBWcsYpfQzfHjHKtQAJshNyTU88LwNY4Q3rHFYA

*本文原创作者:hanochzhang、 jaryzhou,本文属于FreeBuf原创奖励计划,未经允许禁止转载

发表评论

已有 3 条评论

取消
Loading...
css.php