Linux下针对SSH的攻击-国人的狂欢

近期开发了一个 SSH 蜜罐,用自己的机器跑了一下,抓到一些攻击数据。
这里抛砖引玉,简单的做一些分析与总结。
我们先看到 SSH 蜜罐记录的 log

注:具体时间部分涂抹掉了。
从 log 中我们不难看出攻击者使用了弱密码(用户名 root 密码 66666666 )登陆到 SSH 蜜罐中。
随后使用 wget 下载 hxxp://173.254.236.8:54088/scpshell 这个脚本文件试图并运行。
由于 SSH 蜜罐配置时使用了 iptables 阻止向外访问80和443以外的任何端口,故本次下载实际上并未成功。
不过 log 在这里我手动访问了一下页面,如下图所示。
我们看到蜜罐的攻击者的 IP 是 125.77.197.82
通过百度查询IP地址归属地为:福建省厦门市电信
攻击者使用的服务器IP是 173.254.236.8 归属地是为美国。
这个IP地址的归属地是美国。
通过访问我们可以了解到这个服务器是一个 Windows 服务器,因为 HFS 是 Windows 下一个简易的 HTTP Server 。
很遗憾的是攻击者并未有足够的安全意识,没有对 HFS 进行基本的安全配置,固我们可以看到 HFS 上存放的所有文件。
我们直接打包进行下载。
从 scpshell 这个脚本文件我们可以看到,脚本试图并执行下载 hxxp://173.254.236.8:54088/hydra
该文件下载后上传到 VirusTotal 上, VirusTotal 的检测结果如下所示。
https://www.virustotal.com/en/file/81618745980ab5fe84cc62b18081b17e481ad9fc4a6ab1926594ca468de1f0ba/analysis/
初步判断是个后门文件,并且具备 DDOS 的功能。
由于条件有限未能展开分析这个 ELF 文件,不过由于攻击者服务器上存在2个 Windows 下的可执行文件,我选了一个做了大致的分析。
这里我选择了 xc.exe , VirusTotal 的检测结果如下所示。 https://www.virustotal.com/en/file/d51313e59f6ca4269ecb4b429bcab23a0c86a61a83bca6384e7fce7b6d3313be/analysis/
xc.exe 是一个典型的后门,部分安全厂商将此类命名为Zegost。
尝试分析后大致有如下动作 复制自身到 Windows 目录

注册自身成为 Windows 服务

收集本机信息与 C&C 服务器( 8888.xsddos.com )进行通信 创建并使用VBS 脚本删除安装文件

通过 chinaz.com 的 whois 查询,我们看到 chinaz.com 的历史数据显示注册人为 7379797.CC 如下图所示。
7379797.CC 这个域名的注册商是商务中国。
通过查询商务中国的whois,我们可以看到持有人信息。

从域名信息上看,域名使用了 DNSPOD 的 DNS 服务,并且注册域名的持有人使用了商务中国提供的域名注册服务。这两方面的信息基本说明了攻击者是个国人。
当然由于 chinaz.com 的 whois 数据也有产生过错误的例子,不能完全肯定。
于是查询最新的 whois 数据显示如下

持有人更改了域名的注册信息成了代理,不知道是不是没考虑到 chinaz.com 查询过的域名存在缓存所以疏忽了,不过我依然有理由相信是国人干的。
我们在看到掌握的第二个 log

从 LOG 中我们可以看到攻击者试图停止iptables并下载运行 hxxp://111.73.45.188:9876/834 这个文件。
查询 IP 归属地显示,服务器 111.73.45.188 归属地为江西省上饶市电信。
同样的我们访问服务器地址,同样也是HFS服务器,并且没有做任何安全配置。 与之前不同的是,这服务器直接赤裸裸的写着汉化版,看到熟悉的中文界面,不禁内牛满面。到这里基本上可以确定是国人,毕竟外国人没有什么理由用着中国的 IP 还用着汉化版的 HFS 。

除此以外,服务器上还有一个 1.txt ,其中标记着一个 IP 地址 219.151.63.211 ,不知道与攻击者有什么样的关联呢?
同样把样本上传至 VirusTotal 。VirusTotal 的扫描结果如下 https://www.virustotal.com/en/file/e3d8514f01b6a019829ffbe7b4dfe991b8b8d9ebd1f0fa658f4ef0880ade99c7/analysis/
由于很明显,我就没有分析,因为从 VT 的结果上看,还是一个发动 DDOS 的样本。
还有其他类似的数据我就不一一列出了。
从目前我个人 SSH 蜜罐截获的数据来看几乎所有的入侵事件都和国人或多或少的有所联系,也不知道是蜜罐的地域原因还是真的发起 SSH 攻击的大多数都是国人。
不过可以确定,国人的安全之路任重而道远。