首页 > 关于安博通 > 新闻中心
【攻防能力实践】猎踪溯源“8220挖矿团伙”,实战攻击路径分析一览
2023-12-01
1229


黑产组织,即以违法活动获取利益的产业,对企业机构的网络安全构成了严重威胁。其擅长使用复杂的APT攻击手段,悄无声息地潜入网络安全防线,破坏和盗取有价值的数据,甚至操控企业机构的运营。


1.jpg


黑产组织经常在各监管单位组织的攻防演练中浑水摸鱼,记一次安博通安全服务团队在防守任务中,成功溯源并定位黑产组织的实战。

 

Step 1:发现攻击


安博通防守人员在日常监测中,发现某个IP地址正在对企业的关键系统发起频繁攻击,在第一时间封禁该IP地址的同时,迅速对其进行追踪溯源。


Step 2:威胁情报研判


经过对攻击IP的详细分析,该攻击源对企业下属多家单位的多个对外网站和应用进行了攻击。威胁情报显示,该IP位于某地的公有云主机,已被标记为具有扫描行为的机器,从事漏洞利用违法行为。


该主机的攻击手法主要分为两个阶段,具体信息如下表所示:


2.jpg


Step 3:攻击线索溯源分析


傀儡机反制


该攻击源扫描服务器存在Apache Flink服务,经过对这一服务的深入研究分析,确认其存在未授权访问漏洞和远程代码执行漏洞。


随后,使用自研安全工具,成功反制了该肉鸡(傀儡)服务器。


3.png

傀儡机反制


深入分析


获取该服务器权限后,发现其中存在大量的pnscan(一种开源的扫描工具,即挖矿蠕虫病毒),正在不断发起网络连接,且连接端口大部分为Redis数据库默认的服务端口6379。这说明,该扫描服务器正在执行大量扫描任务。


4.png

pnscan正在执行大量扫描任务


正待防守人员通过系统自带的命令查看系统运行进程之时,这台扫描服务器的机器系统命令已被黑产组织的脚本篡改。防守人员上传自定义的Linux命令执行工具,查看到具体的pnscan进程,并全面检查了其他可疑进程。其中newinit.sh和xmas-bis.sh两个进程存在异常,与此次攻击事件的源头相关联。


5.png

两个进程存在异常


通过进程关联,定位到该进程的源文件位置,对源文件进行分析,发现xmas-bis.sh程序的逻辑相对简单,主要行为是下载挖矿木马,然后将木马重命名,并连接到某地的矿池以启动挖矿活动。


6.png

xmas-bis.sh程序


newinit.sh脚本则是一个较为复杂的程序,经过深入研究最终确认该程序就是此次事件的主要控制程序,也是操纵pnscan扫描工具的父程序。对newinit.sh脚本的研究,揭示了一个具有高度复杂性和技术性的恶意程序的行为逻辑。


7.png

newinit.sh脚本的部分源代码


对newinit.sh脚本的行为逻辑进行整理,其执行流程如下图所示:


8.jpg


防守人员在newinit.sh脚本中发现了一个名为a.oracleservice.top的恶意域名,它是挖矿木马程序的备用下载地址。这表明,攻击者为了确保恶意软件的传播,已经预先准备了多个下载渠道。


9.png

预先准备的多个下载渠道


使用威胁情报对a.oracleservice.top域名进行查询,该域名与“8220挖矿团伙”存在关联,这为后续防范和打击网络攻击提供了重要线索。接着对该脚本下载的挖矿主程序zzh的行为逻辑进行分析,该程序是根据开源挖矿程序XMRig改造编译而成,样本被加了upx壳。该木马的执行周期分为三个阶段,如下表所示:


10.jpg


这一系列的恶意设计凸显了攻击者的技术能力和目标针对性。通过复杂的程序设计,攻击者力求恶意软件在目标系统中长期稳定运行,实现利益的最大化。这不仅体现在木马的启动和运行上,还体现在其逃避分析与查杀、解决依赖问题等方面,充分展示了黑产组织的技术性和威胁性。


黑产组织揭秘


“8220挖矿团伙”即“8220_Gang团伙”,是一个长期活跃、擅长使用漏洞进行攻击并部署挖矿程序的黑产组织。该组织早期使用Docker镜像传播挖矿木马,后转变为通过爆破或流行服务的各种Nday漏洞进行传播。


2022年7月,“8220_Gang”已经将其僵尸网络扩展至全球约30,000台主机,成为了不可忽视的庞大的“幕后黑手”。国家互联网应急中心CNCERT已发布关于“8220_Gang”的通报信息,链接如下:https://www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf


安博通安全建议


针对黑产组织带来的安全风险,安博通安全服务团队结合近期攻击趋势,为企业机构提出了以下安全实践建议:


1、强化口令防护


黑产组织经常利用爆破攻击手段,对暴露在互联网上的应用进行攻击。建议企业机构采用高强度口令并定期修改,以及使用双重认证技术强化口令防护,减少被黑产组织攻击的风险。


2、应用定期更新


对所有软件和应用定期更新,及时安装供应链厂商发布的安全补丁,以修复已知漏洞。同时定期进行漏洞扫描和渗透测试工作,尽早发现并修复应用系统中存在的安全漏洞,降低黑产组织通过应用漏洞入侵的可能性。


3、增进人员意识


定期进行网络安全培训,使员工增进辨别社会工程攻击、钓鱼邮件等欺诈手段的能力。实施模拟演练,有效提高员工在网络安全方面的警惕性。建立简单易行的网络安全事件报告机制,鼓励员工及时上报可疑活动,提高整体安全防范意识水平。


安博通安全服务团队,拥有多年实战攻防经验,以及丰富的安全服务项目的规划、建设、实施经验。团队成员中不乏0day漏洞的首发者和贡献者,在CNVD国家信息安全漏洞共享平台及各大SRC平台获得漏洞挖掘相关证书。


以实战攻防为核心,汇聚强大安全力量,安博通在2023年度攻防演练实战防守期间,共防御攻击数量10余万次,处置安全事件300余起,圆满完成各企业网络安全攻防演练防守任务。同时,在北京冬奥会冬残奥会等大型活动中承担应急响应任务,守护网络空间的安全和数字世界的美好。

联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。