产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文警惕针对Windows/Linux双平台的批量抓鸡行动,已有上千台服务器失陷
2020-04-16 01:49:55
一、概述
近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷,包括2个针对Linux系统的DDoS 僵尸网络木马billgates及一个针对windows系统的后门窃密木马。
攻击载荷服务器
该黑产团伙的主要特点:
1. 针对windows/Linux双平台的攻击载荷都是通过生成器生成,可配置上线地址,自动化、专业化程度高。
2. 入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破,包括3306/1433端口(mysql/sqlServer默认端口)、3389端口(远程桌面)、SSH爆破等等。
3. 通过一键免杀工具进行免杀,通过代理频繁更换服务器IP躲避追踪,频繁更换HFS服务器上的文件,使点击量重新计数等方式躲避追踪查杀。
4. 攻击载荷针对Linux系统的是DDoS 僵尸网络木马billgates,针对windows系统的为后门窃密类木马。
该黑产团伙从四月份开始活跃,目前已有上千台主机失陷,失陷主机分布在全国各地,排名前三的省份为浙江、江苏、广东。
受该团伙攻击失陷的服务器分布
二、黑客攻击工具包分析
腾讯安全威胁情报中心的检测数据显示,攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪,用了代理工具频繁修改IP地址,所使用的域名xnsj.f3322.net近期被解析指向的多个IP,实际上也是同一台机器设备:
我们在这台HFS服务器上发现多个黑客工具包,包括3389抓鸡工具包、 红尘网安1433工具包,Linux爆破工具、3306抓鸡、SA弱口令、 1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。
部分黑客工具包及说明:
黑客工具包对应的功能
3389抓鸡工具包为远程桌面爆破工具,内置了爆破密码字典:
抓鸡工具包
红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破:
DDoS压力测试工具
三、Billgates僵尸网络木马分析
该团伙针对攻陷的Linux服务器会安装Billgates 僵尸网络木马,Billgates僵尸网络最早出现在2014年,是最为活跃的僵尸网络家族之一,曾多次被安全厂商披露,在本案例中Billgates bot通过生成器生成,可配置ip/域名及端口。
Billgates bot生成器
持久化配置
Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本
DbSecuritySpt及在rc.d多个目录创建了自启动项
创建的自启动项:
/etc/rc.d/init.d/DbSecuritySpt
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S97DbSecuritySpt
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S97DbSecuritySpt
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S97DbSecuritySpt
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S97DbSecuritySpt
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S97DbSecuritySpt
/etc/rc.d/rc5.d/S99selinux
DDoS攻击
在函数MainProcess中完成主要的DDoS攻击功能,包括Tcp/Udp/Syn洪水攻击,DNS反射攻击等。
完整的攻击类型如下:
MainProcess函数DDoS功能:
三、针对Windows平台的后门分析
该黑产团伙投放的Windows平台后门木马,也是通过生成器生成,可配置C2上线地址,监听端口,及标识码。此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。有后门类木马的几乎所有功能,包括键盘记录嗅探,文件下载、上传、执行,执行CMD命令等等。目前其C2地址为116.207.21.252|xnsj.f3322.net:1999
功能函数:
四、安全建议
1. 针对Linux平台的排查:可通过排除相关启动项查看是否中招,如果有包含
/etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招,建议网管及时清除。
2. 推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)查杀该团伙安装的Windows系统后门木马;
3. 建议网管使用高强度密度,并经常更换,避免遭遇爆破入侵。
推荐企业用户部署腾讯安全完整解决方案提升系统安全性。
腾讯安全解决方案部署示意图(图片可放大)
企业用户可根据业务节点拦截位置部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,可参考下表选择:
|
拦截 位置 |
安全产品 |
解决方案 |
|
云上 业务
|
腾讯云T-Sec 安全运营中心(云SOC)
免费试用云SOC产品 |
云上业务的事前安全预防、事中监测与威胁检测及事后响应处置。 事前环节:云上资产的自动化动态盘点。识别云上配置风险,云上高危端口及组件的自动化检查。 事中环节:云上安全产品告警统一监测,流量威胁感知,识别云上攻击和失陷主机行为。 事后环节:对特定安全事件实现自动化响应,云上安全日志审计与调查溯源。 云上安全态势及安全成果的可视化展示。 |
|
云防火墙 (Cloud Firewall,CFW) |
一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。 |
|
|
未 采 用 云 上 业 务 |
腾讯T-Sec 安全运营中心(专有云)
扫码了解更多信息 |
以安全检测、事件关联及智能分析为核心功能,并以腾讯威胁情报、3D可视化为特色。通过海量数据多维度分析、对威胁及时预警并做出智能处置。
适用于多种安全运营管理场景,帮助企业打造全网安全态势可知、可见、可控的闭环。 |
|
威 胁 情 报
|
腾讯T-Sec 威胁情报云查服务 (SaaS) |
SaaS形式自动化威胁情报查询产品: 满足对IP/Domain/文件等对象的威胁查询、SaaS形式威胁情报查询及溯源产品“T-Sec高级威胁追溯系统”。 |
|
腾讯T-Sec 威胁情报平台(TIP) |
将腾讯安全最新的威胁情报能力变成一套可本地部署的威胁情报管理平台,帮助企业在内网/专网/私有云等环境实现威胁情报管理和查询。 根据威胁情报提供的IOCs信息,将失陷数据同步到网络中的各个设备,对危险访问、入侵流量、恶意文件进行检测、识别和拦截。 腾讯TIP平台的IOCs信息可自动同步,也支持管理员手动添加。 |
|
|
腾讯T-Sec 高级威胁追溯系统 |
进行线索研判、攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。 |
|
|
网络 资产 风险 检测 |
腾讯T-Sec 网络资产风险检测系统(腾讯御知)
免费试用腾讯御知 |
全面检测企业网络资产是否受安全漏洞影响。 可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。 |
|
入侵 流量 检测 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。 |
|
主机 终端 保护 |
腾讯T-Sec终端安全管理系统 (御点) |
拦截病毒木马攻击终端系统; 支持集中检测、修复各终端系统存在的安全漏洞; 支持启用文档守护者功能自动备份重要资料文件。 https://s.tencent.com/product/yd/index.html
个人用户推荐使用腾讯电脑管家保护终端系统。 |
|
安全服务 |
腾讯安全定期巡检服务 |
由腾讯安全团队专业工程师提供定期巡检服务,对客户采购的全系列腾讯安全解决方案的运行维护情况提供详细专业的技术报告。 |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
IOCs:
MD5:
488d0393825b9d4aeebd30e236020d78
e133a6078a38e983c1a7a3fb14670c63
fe642d12ef1f884395a3bfd501949ebf
b21f8aa2d18cb64b779161d475b68209
7145110d75992a0f0ab2332293fb73ab
b4caaea9a5621a595d051da143b40015
935c5a016862605b9d62564c3acdb2aa
544344fb1410184109f85e6343bf0e15
4363993917d8386de4a4d07b4a1f70de
49ec29cab36ccf726c8c25f7aca6875c
be89d31b7d876bc6058bd8e64f88c9e1
IP
116.207.21.252
111.176.102.38
116.207.16.45
111.176.101.97
域名:
xnsj.f3322.net
在线咨询
方案定制