一次SSH爆破攻击haiduc工具的应急响应

概述

2022年3月底，我安服团队在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃，主要涉及的是一个haiduc的工具。

01

检测定位阶段工作说明

1、异常现象确认

服务器被植入木马病毒，并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。

2、溯源分析过程 

通过态势感知查看暴力破解检测日志，发现最早从2月16日凌晨3点半左右出现暴力破解告警情况，攻击源为10.101.2.210服务器。

02

抑制阶段工作说明

临时配置防火墙禁止101.2.210访问其他区域服务器22端口；

修改服务器10.101.2.210弱密码为强口令；

03

根除阶段工作说明

1.进程分析：ps -ef 查看运行进程，发现大量sshd命令

2.通过异常进程PID查看恶意程序，发现指向usr/share/man/.md/haiduc这个文件

3.进入到指定文件夹目录下

4.拷贝下来进行病毒分析

上传微步沙箱分析

5.进行目录文件解剖（存在爆破IP和账号密码信息）

6.登录安全：ssh免密登录排查,未发现配置有可疑的ssh免密登录keys

7.服务器最近登录日志分析

其中：10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。
最早登录时间：2月16日 03:34 ，登录IP：10.100.2.211

8.查看最近爆破登录日志,该机器发现有被ip10.101.31.4进行ssh爆破的记录，最早时间3月12日，未发现其他爆破情况；

9.账号异常排查,分析：未发现异常可疑账号

10.查看历史操作日志,分析：发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录

11.自启动项分析,未发现异常

12.计划任务,未发现异常

13.根除

（1）修改弱口令为强复杂度扣口令

（2）Kill -9 haiduc  强行杀毒恶意进程后，进程断开

杀死进程前

杀死进程后

（3）删除对应的文件目录和文件

截止目前，服务器恶意进程停止和态势感知恶意告警消失。

分析小结

通过分析判断，极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件，并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析，很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后，病毒未复发。

04

跟踪阶段工作说明

截止目前，病毒未复发，未发现木马病毒二次扩散传播，待后续继续跟踪观察网络安全态势和告警。