小編給大家分享一下Dota Campaign的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

在湖里等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站制作、成都網(wǎng)站制作 網(wǎng)站設(shè)計制作按需網(wǎng)站開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計,成都全網(wǎng)營銷推廣,成都外貿(mào)網(wǎng)站建設(shè)公司,湖里網(wǎng)站建設(shè)費用合理。

初始感染

根據(jù)攻擊文件的內(nèi)容，我將此次攻擊命名為了“Dota Campaign”。在此攻擊活動中，攻擊者通過弱SSH憑證獲取到了目標(biāo)設(shè)備的初始訪問權(quán)。我的SSH蜜罐所使用的用戶名和密碼均為salvatore，下面給出的是我SSH日志的初始登錄數(shù)據(jù)：

完成認證之后，攻擊者立刻通過SSH執(zhí)行了系統(tǒng)命令，而且所有命令都是通過實際的SSH命令傳遞進來的，因為我的系統(tǒng)是一個安裝了自定義OpenSSH版本的蜜罐，所以我們可以查看到攻擊者執(zhí)行的命令：

首先，攻擊者通過HTTP向主機54.37.70[.]249請求了一個名為.x15cache的文件，然后在等待了10秒鐘之后執(zhí)行了該文件。除此之外，攻擊者還將用戶密碼修改為了一個隨機字符串。.x15cache文件的內(nèi)容如下：

由此看來，.x15cache文件應(yīng)該只是一個負責(zé)設(shè)置環(huán)境的Dropper，它還會獲取主機54.37.70[.]249中的其他文件。第二個文件名叫dota2.tar.gz，這個tar文件包含的是一段惡意代碼，目錄名為.rsync。我用我的文件檢測腳本提取了該文件中的部分內(nèi)容：

.x15cache腳本會切換到這個.rsync目錄中，然后嘗試執(zhí)行./cron和./anacron文件。攻擊者使用了“||”或語句來讓./cron文件先執(zhí)行，如果執(zhí)行失敗則執(zhí)行./anacron。.rsync目錄中還有一個文件，這個文件似乎從來不會運行，我們一起看一看：

i686架構(gòu)針對的是32位環(huán)境，x86_64架構(gòu)針對的是64位環(huán)境。如果cron是64位代碼，那么anacron就是32位的了。運行之后我們也證實了這一點：

因為這兩個文件其實做的是同一件事情，所以我們只需要分析其中一個就可以了。

分析cron代碼

我們先通過strings命令收集一些基本信息，其中的“cryptonight”字符串吸引了我的注意：

實際上，CryptoNight是一種工作量證明算法，它可以適用于普通PC的CPU，但它不適用于專門的挖礦設(shè)備，所以CryptoNight暫時只能用CPU挖礦。

得知它跟挖礦有關(guān)之后，我們看看strings命令還能找到些什么：

上圖為xmrig命令的幫助頁面，而它是一款針對門羅幣的CPU挖礦軟件。除此之外，我們還捕捉到了編譯時間信息：2019年5月3日，也就是上個月。

接下來，我們一起分析一下網(wǎng)絡(luò)流量。我們可以看到代碼跟新的主機5.255.86[.]129:80建立了連接：

運行tcpdump捕捉流量后，我們用Wireshark對其進行了分析：

客戶端會向服務(wù)器發(fā)送一些json數(shù)據(jù)，而且這里還包含了XMrig參數(shù)以及cn參數(shù)（CryptoNight）。

攻擊第二階段

在運行了上述命令之外，攻擊者還會在幾秒鐘之后運行另一波命令：

這一次，攻擊者的操作目錄為/dev/shm，并從之前的主機54.37.70[.]249獲取rp和.satan這兩個文件，。接下來，攻擊者會嘗試運行sudo命令來獲取root權(quán)限，然后以root權(quán)限感染.satan腳本。.satan文件內(nèi)容如下：

這個satan腳本首先會創(chuàng)建一個名為srsync的系統(tǒng)服務(wù)文件，然后自動運行。srsync服務(wù)會調(diào)用腳本/usr/local/bin/srsync.sh，而srsync.sh腳本會運行rsync.pl在這個perl腳本以及ps.bin代碼文件。rsync.pl腳本來自于/dev/shm/rp，會跟.satan腳本一起從服務(wù)器傳送過來，并使用wget命令獲取ps.bin代碼文件（來自于主機54.37.70[.]249）。需要注意的是，在惡意挖礦軟件中，攻擊者使用了crul作為wget的備用命令，

分析ps.bin文件

簡單分析后，我發(fā)現(xiàn)ps.bin是實際上是一個32位代碼文件：

使用strings搜索之后，我發(fā)現(xiàn)代碼提到了ssh，所有我又用grep命令搜索了“ssh”：

我首先注意到的是一個用于向~/authorized_keys文件添加RSA密鑰的系統(tǒng)命令，實際上這就是在創(chuàng)建一個SSH后門，因為攻擊者可以使用關(guān)聯(lián)的RSA私鑰來實現(xiàn)賬號認證。隨后我還發(fā)現(xiàn)了大量跟ssh有關(guān)的內(nèi)容，原來這些都屬于函數(shù)名稱：

就此看來，我們面對的就是一個純SSH后門了。

代碼分析

首先，我們看一看后門代碼中的IP地址：

而且變量名明顯為西班牙語，emmmm…..

接下來，定位到軟件主函數(shù)的循環(huán)：

它主要負責(zé)持續(xù)監(jiān)聽IRC服務(wù)器發(fā)送過來的命令，parse函數(shù)用來判斷命令內(nèi)容：

我還注意到了一個針對shell函數(shù)的調(diào)用：

$comando指的就是系統(tǒng)命令了，看來這又是第二個后門，而這個后門基于的是IRC信道。我們可以通通過netstat命令來查看信道的連接和建立：

設(shè)置好tcpdump命令后，運行perl腳本，然后通過WireShark分析流量，下面給出的是完整的TCP數(shù)據(jù)流：

這是標(biāo)準(zhǔn)的IRC流量，客戶端會持續(xù)獲取用戶名，成功之后便會加入一個##root信道，而且服務(wù)器端還是2019年5月7日創(chuàng)建的。

值得一提的是，這里面似乎還嵌入了一部分DoS攻擊代碼：

入侵威脅指標(biāo)IoC-哈希（MD5）

.satan: 36e692c1e58b53f54ae4966d15fdfa84rsync.pl: 52a422722c479d8c5483d2db9267e4cdps.bin: 04d0658afae3ea7b0fdaf6a519f2e28cdota2.tar.gz: 2cfb1ad304940ae7e3af954d5c1d1363.x15cache: 6d6fb279bb78b25413a441e4bfd3ded9cron: fdb085727694e327c8758061a224166banacron: 2c15d9bcd208c9446b14452d25d9ca84

以上是“Dota Campaign的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！