怎樣利用ElasticSearch Groovy漏洞進行門羅幣挖礦事件分析

怎樣利用ElasticSearch Groovy漏洞進行門羅幣挖礦事件分析，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

一、概述

2019年6月13日，安天蜜網捕獲到利用CVE-2015-1427(ElasticSearch Groovy)遠程命令執行漏洞的攻擊行為。該漏洞原理是Elaticsearch將groovy作為腳本語言，并使用基于黑白名單的沙盒機制限制危險代碼執行，但該機制不夠嚴格，可以被繞過，從而導致出現遠程代碼執行的情況。我們對此次事件進行了詳細的樣本分析，并給出預防及修復建議。

二、樣本分析

2.1 關鍵攻擊載荷

從攻擊載荷來看，攻擊者通過groovy作為腳本語言，向_search?pretty頁面發送一段帶有惡意鏈接為http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json腳本，進行惡意shell腳本下載，從而實現遠程代碼攻擊，并進行挖礦行為

圖 2-1 數據包內容

解密后核心代碼：

圖 2-2 核心代碼

2.2 樣本分析

1) 入侵腳本分析—init.sh

攻擊者通過http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下載并執行惡意腳本init.sh來植入Dog挖礦程序，同時對主機進行掃描等一系列操作。

圖 2-3 關閉防火墻

之后執行關閉防火墻、關閉selinux并釋放占用的資源、殺掉其他與挖礦相關的進程、設置定時任務（每30分鐘下載一次可執行文件update.sh），獲取ssh權限，進行iptables規則轉發修改，同時清理相關操作歷史、日志等操作。

圖 2-4 檢查并殺死其它存在的挖礦進程

圖 2-5 設置定時任務

圖 2-6 惡意腳本下載地址、備份地址以及大小設置

圖 2-7 清理相關日志、歷史

在此過程中，腳本會檢查sysupdate、networkservice 和sysguard這3個進程是否啟動，如果沒有則進行啟動。

圖 2-8 當其中一個被kill掉后，調度文件重新啟動

2) 樣本分析—sysguard、networkservice、sysupdate

三個樣本為go語言編寫并使用UPX加殼，對應的main_main函數結構分別如下：

圖 2-9 sysguard-main_main函數結構

圖 2-10 networkservice-main_main函數結構

圖 2-11 sysupdate-main函數

通過與之前捕獲的systemctI樣本對比發現，此次攻擊分成挖礦、掃描、函數調用三個進程進行調度。并且在networkservice樣本中發現了相關漏洞利用函數和掃描函數。

圖 2-12 networkservice掃描函數

通過對比之前捕獲的樣本發現兩次攻擊手法類似，不同的是此次攻擊是通過sysguard、networkservice（掃描）和sysupdate三個進程共同進行的。這也意味著，發現服務器被感染后要將這三個進程同時kill掉。

3) 配置文件—config.json

在下載的配置文件中，我們發現了多個礦池地址：

表 2-1 礦池列表

圖 2-13 s配置文件

三、受影響的服務及漏洞

表 3-1 受影響的服務和漏洞

四、IOC

表 4-1 攻擊IP

表 4-2 URL

表 4-3 MD5

五、預防與修復建議

預防建議：

a) 確保系統與應用程序及時下載更新為官方提供的最新補丁；

b) 禁止使用弱口令密碼；

c) 定期檢查服務器異常，如CPU持續占用高、磁盤異常情況；

d) 安裝終端威脅安全防護產品

修復建議：

a) 斷網、備份重要的crontab，關閉或刪除定時任務：systemctl stop crontab或 rm -rf /etc/cron.d/*；

b) 鎖定crontab中的惡意文件；

c) 查看并殺掉病毒進程：同時殺掉sysguard、networkservice、sysupdate三個進程；

d) 刪除病毒相關文件；

e) 確認無誤后，重啟服務器，安裝漏洞補丁。

看完上述內容，你們掌握怎樣利用ElasticSearch Groovy漏洞進行門羅幣挖礦事件分析的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！