Dota Campaign的示例分析

小編給大家分享一下Dota Campaign的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

初始感染

根據(jù)攻擊文件的內(nèi)容，我將此次攻擊命名為了“Dota Campaign”。在此攻擊活動(dòng)中，攻擊者通過弱SSH憑證獲取到了目標(biāo)設(shè)備的初始訪問權(quán)。我的SSH蜜罐所使用的用戶名和密碼均為salvatore，下面給出的是我SSH日志的初始登錄數(shù)據(jù)：

完成認(rèn)證之后，攻擊者立刻通過SSH執(zhí)行了系統(tǒng)命令，而且所有命令都是通過實(shí)際的SSH命令傳遞進(jìn)來的，因?yàn)槲业南到y(tǒng)是一個(gè)安裝了自定義OpenSSH版本的蜜罐，所以我們可以查看到攻擊者執(zhí)行的命令：

首先，攻擊者通過HTTP向主機(jī)54.37.70[.]249請(qǐng)求了一個(gè)名為.x15cache的文件，然后在等待了10秒鐘之后執(zhí)行了該文件。除此之外，攻擊者還將用戶密碼修改為了一個(gè)隨機(jī)字符串。.x15cache文件的內(nèi)容如下：

由此看來，.x15cache文件應(yīng)該只是一個(gè)負(fù)責(zé)設(shè)置環(huán)境的Dropper，它還會(huì)獲取主機(jī)54.37.70[.]249中的其他文件。第二個(gè)文件名叫dota2.tar.gz，這個(gè)tar文件包含的是一段惡意代碼，目錄名為.rsync。我用我的文件檢測(cè)腳本提取了該文件中的部分內(nèi)容：

.x15cache腳本會(huì)切換到這個(gè).rsync目錄中，然后嘗試執(zhí)行./cron和./anacron文件。攻擊者使用了“||”或語句來讓./cron文件先執(zhí)行，如果執(zhí)行失敗則執(zhí)行./anacron。.rsync目錄中還有一個(gè)文件，這個(gè)文件似乎從來不會(huì)運(yùn)行，我們一起看一看：

i686架構(gòu)針對(duì)的是32位環(huán)境，x86_64架構(gòu)針對(duì)的是64位環(huán)境。如果cron是64位代碼，那么anacron就是32位的了。運(yùn)行之后我們也證實(shí)了這一點(diǎn)：

因?yàn)檫@兩個(gè)文件其實(shí)做的是同一件事情，所以我們只需要分析其中一個(gè)就可以了。

分析cron代碼

我們先通過strings命令收集一些基本信息，其中的“cryptonight”字符串吸引了我的注意：

實(shí)際上，CryptoNight是一種工作量證明算法，它可以適用于普通PC的CPU，但它不適用于專門的挖礦設(shè)備，所以CryptoNight暫時(shí)只能用CPU挖礦。

得知它跟挖礦有關(guān)之后，我們看看strings命令還能找到些什么：

上圖為xmrig命令的幫助頁面，而它是一款針對(duì)門羅幣的CPU挖礦軟件。除此之外，我們還捕捉到了編譯時(shí)間信息：2019年5月3日，也就是上個(gè)月。

接下來，我們一起分析一下網(wǎng)絡(luò)流量。我們可以看到代碼跟新的主機(jī)5.255.86[.]129:80建立了連接：

運(yùn)行tcpdump捕捉流量后，我們用Wireshark對(duì)其進(jìn)行了分析：

客戶端會(huì)向服務(wù)器發(fā)送一些json數(shù)據(jù)，而且這里還包含了XMrig參數(shù)以及cn參數(shù)（CryptoNight）。

攻擊第二階段

在運(yùn)行了上述命令之外，攻擊者還會(huì)在幾秒鐘之后運(yùn)行另一波命令：

這一次，攻擊者的操作目錄為/dev/shm，并從之前的主機(jī)54.37.70[.]249獲取rp和.satan這兩個(gè)文件，。接下來，攻擊者會(huì)嘗試運(yùn)行sudo命令來獲取root權(quán)限，然后以root權(quán)限感染.satan腳本。.satan文件內(nèi)容如下：

這個(gè)satan腳本首先會(huì)創(chuàng)建一個(gè)名為srsync的系統(tǒng)服務(wù)文件，然后自動(dòng)運(yùn)行。srsync服務(wù)會(huì)調(diào)用腳本/usr/local/bin/srsync.sh，而srsync.sh腳本會(huì)運(yùn)行rsync.pl在這個(gè)perl腳本以及ps.bin代碼文件。rsync.pl腳本來自于/dev/shm/rp，會(huì)跟.satan腳本一起從服務(wù)器傳送過來，并使用wget命令獲取ps.bin代碼文件（來自于主機(jī)54.37.70[.]249）。需要注意的是，在惡意挖礦軟件中，攻擊者使用了crul作為wget的備用命令，

分析ps.bin文件

簡(jiǎn)單分析后，我發(fā)現(xiàn)ps.bin是實(shí)際上是一個(gè)32位代碼文件：

使用strings搜索之后，我發(fā)現(xiàn)代碼提到了ssh，所有我又用grep命令搜索了“ssh”：

我首先注意到的是一個(gè)用于向~/authorized_keys文件添加RSA密鑰的系統(tǒng)命令，實(shí)際上這就是在創(chuàng)建一個(gè)SSH后門，因?yàn)楣粽呖梢允褂藐P(guān)聯(lián)的RSA私鑰來實(shí)現(xiàn)賬號(hào)認(rèn)證。隨后我還發(fā)現(xiàn)了大量跟ssh有關(guān)的內(nèi)容，原來這些都屬于函數(shù)名稱：

就此看來，我們面對(duì)的就是一個(gè)純SSH后門了。

代碼分析

首先，我們看一看后門代碼中的IP地址：

而且變量名明顯為西班牙語，emmmm…..

接下來，定位到軟件主函數(shù)的循環(huán)：

它主要負(fù)責(zé)持續(xù)監(jiān)聽I(yíng)RC服務(wù)器發(fā)送過來的命令，parse函數(shù)用來判斷命令內(nèi)容：

我還注意到了一個(gè)針對(duì)shell函數(shù)的調(diào)用：

$comando指的就是系統(tǒng)命令了，看來這又是第二個(gè)后門，而這個(gè)后門基于的是IRC信道。我們可以通通過netstat命令來查看信道的連接和建立：

設(shè)置好tcpdump命令后，運(yùn)行perl腳本，然后通過WireShark分析流量，下面給出的是完整的TCP數(shù)據(jù)流：

這是標(biāo)準(zhǔn)的IRC流量，客戶端會(huì)持續(xù)獲取用戶名，成功之后便會(huì)加入一個(gè)##root信道，而且服務(wù)器端還是2019年5月7日創(chuàng)建的。

值得一提的是，這里面似乎還嵌入了一部分DoS攻擊代碼：

入侵威脅指標(biāo)IoC-哈希（MD5）

.satan: 36e692c1e58b53f54ae4966d15fdfa84rsync.pl: 52a422722c479d8c5483d2db9267e4cdps.bin: 04d0658afae3ea7b0fdaf6a519f2e28cdota2.tar.gz: 2cfb1ad304940ae7e3af954d5c1d1363.x15cache: 6d6fb279bb78b25413a441e4bfd3ded9cron: fdb085727694e327c8758061a224166banacron: 2c15d9bcd208c9446b14452d25d9ca84

以上是“Dota Campaign的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！