1.安天app

概述 2019年6月13日，安天蜜網(wǎng)捕獲到利用CVE-2015-1427(ElasticSearch概述2019年6月13日，安天蜜網(wǎng)捕獲到利用CVE-2015-1427(ElasticSearch Groovy)遠(yuǎn)程命令執(zhí)行漏洞的攻擊行為。

2.安天val

該漏洞原理是Elaticsearch將groovy作為腳本語言，并使用基于黑白名單的沙盒機(jī)制限制危險代碼執(zhí)行，但怎樣查看網(wǎng)站排名該機(jī)制不夠嚴(yán)格，可以被繞過，從而導(dǎo)致出現(xiàn)遠(yuǎn)程代碼執(zhí)行的情況安天對此次事件進(jìn)行了詳細(xì)的樣本分析，并給出預(yù)防及修復(fù)建議。

3.安天cert

樣本分析關(guān)鍵攻擊載荷從攻擊荷載  來看，攻擊者通過groovy作為腳本語言，向_search?pretty頁面發(fā)送一段帶有惡意鏈接為http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json腳本，進(jìn)行惡意shell腳本下載，從而實現(xiàn)遠(yuǎn)程代碼攻擊，并進(jìn)行挖礦行為。

4.深圳安天網(wǎng)絡(luò)安全技術(shù)有限公司

圖2-1 數(shù)據(jù)包內(nèi)容解密后核心代碼：

5.安天產(chǎn)品

圖2-2 核心代碼? 入侵腳本分析：init.sh攻擊者通過http://怎樣查看網(wǎng)站排名185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下載并執(zhí)行惡意腳本init.sh來植入Dog挖礦程序，同時對主機(jī)進(jìn)行掃描等一系列操作。

6.安天edr

圖2-3 關(guān)閉防火墻之后執(zhí)行關(guān)閉防火墻、關(guān)閉selinux并釋放占用的資源、殺掉其他與挖礦相關(guān)的進(jìn)程、設(shè)置定時任務(wù)（每30分鐘下載一次可執(zhí)行文件update.sh），獲取ssh權(quán)限，進(jìn)行iptables規(guī)則轉(zhuǎn)發(fā)修改，同時清理相關(guān)操作歷史、日志等操作。

7.安天科技股份有限公司官網(wǎng)

圖2-4 檢查并殺死其它存在的挖礦進(jìn)程

8.安天百度百科

打開鳳凰新聞，查看更多高清圖片圖2-5 設(shè)置定時任務(wù)

9.北京安天網(wǎng)絡(luò)技術(shù)有限公司

圖怎樣查看網(wǎng)站排名2-6 惡意腳本下載地址、備份地址以及大小設(shè)置

10.北京安天網(wǎng)絡(luò)安全技術(shù)有限公司官網(wǎng)

圖2-7 清理相關(guān)日志、歷史在此過程中，腳本會檢查sysupdate、networkservice 和sysguard這3個進(jìn)程是否啟動，如果沒有則進(jìn)行啟動。

圖2-8 當(dāng)其中一個被kill掉后，調(diào)度文件重新啟動? 樣本分析：sysguard、networkservice、sysupdate三個樣本為go語言編寫并使用UPX加殼，對應(yīng)的main_main函數(shù)結(jié)構(gòu)分別如下：

圖2-9 sysguard-main_main函數(shù)結(jié)構(gòu)

圖2-10 networkservice-main_main函數(shù)結(jié)構(gòu)

圖2-11 sysup怎樣查看網(wǎng)站排名date-main函數(shù)通過與之前捕獲的systemctI樣本對比發(fā)現(xiàn)，此次攻擊分成挖礦、掃描、函數(shù)調(diào)用三個進(jìn)程進(jìn)行調(diào)度并且在networkservice樣本中發(fā)現(xiàn)了相關(guān)漏洞利用函數(shù)和掃描函數(shù)。

圖2-12 networkservice掃描函數(shù)通過對比之前捕獲的樣本發(fā)現(xiàn)兩次攻擊手法類似，不同的是此次攻擊是通過sysguard、networkservice（掃描）和sysupdate三個進(jìn)程共同進(jìn)行的。

這也意味著，發(fā)現(xiàn)服務(wù)器被感染后要將這三個進(jìn)程同時kill掉? 配置文件：config.json在下載的配置文件中，我們發(fā)現(xiàn)了多個礦池地址：表 2-1 礦池列表

圖2-13 配置文件受影響的服務(wù)及漏洞表3怎樣查看網(wǎng)站排名-1 受影響的服務(wù)和漏洞

IOC表4-1 攻擊IP

表4-2 URL

表4-3 MD5

預(yù)防與修復(fù)建議  預(yù)防建議：

 a) 確保系統(tǒng)與應(yīng)用程序及時下載更新為官方提供的最新補??；b)禁止使用弱口令密碼  ；c)定期檢查服務(wù)器異常，如CPU持續(xù)占用高、磁盤異常情況；d)安裝終端威脅安全防護(hù)產(chǎn)品--安天智甲終端防御系統(tǒng)安天智甲終端防御系統(tǒng)可以為您量身定制專屬安全基線，為您打造安全的內(nèi)網(wǎng)環(huán)境；同時，文檔安全保護(hù)功能、全網(wǎng)病毒定點清除功能、以及國產(chǎn)操作系統(tǒng)的安全防護(hù)功能更好的解決您遇到的安全問題，保護(hù)您的服務(wù)器。

  修復(fù)建議：

a)斷網(wǎng)、備份重要的crontab，關(guān)閉或刪除定時任務(wù)：systemctl stop cro怎樣查看網(wǎng)站排名ntab或 rm -rf /etc/cron.d/*；b)鎖定crontab中的惡意文件；c)查看并殺掉病毒進(jìn)程：同時殺掉sysguard、networkservice、sysupdate三個進(jìn)程；

d)刪除病毒相關(guān)文件；e)確認(rèn)無誤后，重啟服務(wù)器，安裝漏洞補丁，并采用安天智甲終端防御系統(tǒng)  進(jìn)行預(yù)防和保護(hù)服務(wù)器的安全。