Linux应急故事之四两拨千斤:黑客一个小小玩法,怎样看瞎双眼
|
副问题[/!--empirenews.page--]
某日,笃佩服刘同窗,一位服务处拥有多年应急履历的内行,像往常一样繁忙而娴熟的处理赏罚地址地区的各类安详应急变乱。溘然,某客户告急,称笃佩服的安详感知产物检测到了非常威胁,必要帮忙说明处理。 1. 刘同窗 刘同窗打开安详感知平台,找到对应主机,发明报的是假造钱币挖矿。刘同窗会意一笑,挖矿检测有近乎100%的精确率,抓个挖矿小病毒,跟一般打怪一样简朴。
可是接下来的工作,打破了刘同窗的认知,差点看瞎他的双眼。 2. 看瞎双眼 那是一台Linux处事器,刘同窗通过ps呼吁就等闲定位到了挖矿历程,可是接下来的工作并不轻松,他实行了各类方法,始终无法找到挖矿历程对应的文件。
这种不合常理的征象,令他百思不得其解,乃至猜疑中了rootkit病毒,但实行rootkit扫描器材,如故一无所得。 挖矿历程对应文件指向两处,一处是 /usr/sbin/apache ,一处是 /tmp/.ICE-unix/. ./m 。 可是无论他行使何种呼吁,乃至一一搜查了rc.d、crontab、init下面的各类启动项,翻遍了姑且目次、用户目次、历程目次……耗费了许多时刻,望眼欲穿,都无法找到哪怕一个病毒文件。 cd到对应目次,行使ls -al就是看不到任何可疑文件,按原理应该不会自删除。
刘同窗向总部哀求帮忙的时辰,暗示本身“已经瞎了”! 3. 柳暗花明 总部EDR安详团队接到这个帮忙哀求的时辰,照旧有很大压力的,同时也连系了安详感知的安详专家参加说明。 刘同窗一向是娴熟的应急职员,能让他“看瞎”的,并不多,也许水较量深。 总部安详专家长途接入后,也凭证刘同窗提供的信息,举办逐一确认,同样也没有找到有用信息。 接下来,行使大法,直接把挖矿历程的内存dump出来,调查其要害字符串。 行使strings -n 8将字符串过滤出来,看到如下信息:
这引起了我们的警醒,总感受那边差池。 我们从头再cd到/tmp/.ICE-unix/,再一次行使ls -al查察该目次下面全部文件。
停在这里(上图),或许盯了有好几分钟时刻,陷入了沉思…… 溘然,再一猛看,眉目就出来了,某个字符貌似差池。细心调查上图(后期特意放大了几倍),倒数第三行,貌似差池,它的两个点“旷地”比此外轻微“大”了那么一丢丢(要拿尺子量的那种大,目测毫米级别) 。
真实长途界面,一样平常字体都很是小,上面是正常的画面(大屏小字体),这边后期加了玄色配景来浮现差别。以是,每次进入到这个目次,刘同窗就天然而然的觉得只有“.”和“..”,殊不知,尚有一个“. .”(这内里的两个点之间是有一个空格的)。 一个点是当前目次,两个点是上级目次,两个点加个空格就是一个全新的目次。 再往上翻,dump内存引起我们警醒的那一行,转头一想,ASCII码40就是暗示空格啊! 4. 样本分解 要进入谁人吊诡的文件夹,还不能直接cd . .(留意,这两点之间有空格),必要cd “. .”,即加一个双引号,防备转义。 该文件夹下一共有10个文件,个中x、a、u、r为恶意剧本,?、b、c、d,h和m恶意可执行文件。
执行流程 x -> a -> u -> r -> h (潜匿 & 运行 m ) -> m (挖矿),为了执行真正的挖矿,绕了一大圈。 进口剧本x (以下全部#标注的汉字,均为我们后期备注声名)
开释剧本a
破除剧本u
启动剧本r,如下图,历程路径同时也伪装成了/usr/sbin/apache,是一个不存在的路径。
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
