Linux下的SSH攻击-国人的狂欢

近期开发了一个SSH蜜罐,用自己的机器跑了一下,抓到一些攻击数据,抛砖引玉,简单的做一些分析与总结。
我们先看到SSH蜜罐记录的log

具体时间部分我涂抹掉了。
从log我们不难看出攻击者使用了弱密码(用户名root密码66666666)登陆到SSH蜜罐中,使用wget下载hxxp://173.254.236.8:54088/scpshell这个脚本文件试图并运行。由于SSH蜜罐配置时使用了iptables阻止向外访问80和443以外的任何端口,故本次下载实际上并未成功。不过log在这里我手动访问了一下页面,如下图所示。

我们看到攻击蜜罐的攻击者的IP是125.77.197.82,百度结果显示IP地址归属地是福建省厦门市电信,攻击者使用的服务器IP是173.254.236.8,IP地址的归属地是美国。这个服务器是一个Windows服务器,因为HFS是Windows下一个简易的HTTP Server。很遗憾的是攻击者并未有足够的安全意识,没有对HFS进行基本的安全配置,固我们可以看到HFS上存放的文件。我们直接打包进行下载。
从scpshell这个脚本文件我们可以看到,脚本试图下载hxxp://173.254.236.8:54088/hydra这个可执行文件,我下载下来上传到VirusTotal上。VirusTotal的检测结果如下所示。
https://www.virustotal.com/en/file/81618745980ab5fe84cc62b18081b17e481ad9fc4a6ab1926594ca468de1f0ba/analysis/
初步判断是个后门文件,并且具备DDOS的功能。由于条件有限未能展开分析这个ELF文件,不过由于攻击者服务器上存在2个Windows下的可执行文件,我选了一个做了大致的分析。
这里我选择了xc.exe,VirusTotal的检测结果如下所示。
https://www.virustotal.com/en/file/d51313e59f6ca4269ecb4b429bcab23a0c86a61a83bca6384e7fce7b6d3313be/analysis/
xc.exe是一个典型的后门,部分安全厂商将此类命名为Zegost。
尝试分析后大致有如下动作
复制自身到Windows目录

注册自身成为Windows服务

收集本机信息与C&C服务器(8888.xsddos.com)进行通信

创建并使用VBS脚本删除安装文件

通过chinaz.com的whois查询,我们看到chinaz.com的历史数据显示注册人为7379797.CC如下图所示。

7379797.CC这个域名的注册商是商务中国,通过查询商务中国的whois,我们可以看到持有人信息。

从域名信息上看,域名使用了DNSPOD作为DNS服务,注册域名的持有人使用了商务中国的服务,这两方面的信息基本说明了攻击者是个国人。当然由于chinaz.com的whois数据也有产生过错误的例子,还不能完全断定,最新的whois数据显示如下

持有人更改了域名的注册信息成了代理,不知道是不是没考虑到chinaz.com查询过的域名存在缓存所以疏忽了,不过基本上还是可以确定是国人干的。

我们在看到掌握的第二个log

从LOG中我们可以看到攻击者试图停止iptables并下载运行hxxp://111.73.45.188:9876/834 这个文件。
查询IP归属地显示,服务器111.73.45.188归属地为江西省上饶市电信。
同样的我们访问服务器地址,同样也是HFS服务器,并且没有做任何安全配置。与之前不同的是,这服务器直接赤裸裸的写着汉化版,看到熟悉的中文界面,不禁内牛满面,还是国人。

除此以外,服务器上还有一个1.txt,其中标记着一个IP地址219.151.63.211,不知道与攻击者有什么样的关联呢?
VirusTotal的扫描结果如下
https://www.virustotal.com/en/file/e3d8514f01b6a019829ffbe7b4dfe991b8b8d9ebd1f0fa658f4ef0880ade99c7/analysis/
由于很明显,我就没有分析,因为从VT的结果上看,还是一个发动DDOS的样本。

还有其他类似的数据我就不一一列出了,从目前SSH蜜罐截获的数据来看几乎所有的入侵事件都和国人或多或少的有所联系,也不知道是蜜罐的地域原因还是真的发起SSH攻击的大多数都是国人。不过可以确定,国人的安全之路任重而道远。