1 情況概述
該案例是前期應(yīng)急處置的一起因安全問(wèn)題導(dǎo)致的內(nèi)網(wǎng)不穩(wěn)定的情況。寫下來(lái),和大家一起討論應(yīng)急響應(yīng)的一些思路及其中間遇到的一些坑,歡迎大牛指點(diǎn)、討論。
情況是這樣的:某用戶發(fā)現(xiàn)在網(wǎng)絡(luò)經(jīng)常出現(xiàn)內(nèi)網(wǎng)中斷的情況,經(jīng)其內(nèi)部分析,初步判定可能為其在云上的一臺(tái)虛擬服務(wù)器(Linux)異常導(dǎo)致,但是前期對(duì)這臺(tái)虛擬主機(jī)進(jìn)行常規(guī)的安全檢查與數(shù)據(jù)包分析,并沒(méi)有發(fā)現(xiàn)其有異常情況。但是用戶發(fā)現(xiàn)只要這臺(tái)虛擬主機(jī)接入網(wǎng)絡(luò)就會(huì)不定期出現(xiàn)內(nèi)網(wǎng)中斷。該服務(wù)器對(duì)外只開(kāi)放 ssh和80。用戶為保證其他服務(wù)器的安全及可用性,把這臺(tái)虛擬主機(jī)給下線了,但是這臺(tái)虛擬主機(jī)是否存在異常?為什么接入網(wǎng)絡(luò)會(huì)導(dǎo)致中斷?在初步分析沒(méi)有結(jié)論的情況下,我方介入?yún)f(xié)助分析。
2 整體分析
2.1 數(shù)據(jù)包分析
2.1.1 與183.61.171.154異常交互
我方介入后,根據(jù)實(shí)際情況,將這臺(tái)異常虛擬主機(jī)全部拷備放到一臺(tái)暫時(shí)沒(méi)有使用的服務(wù)器中,前期考慮可能是發(fā)送惡意報(bào)文導(dǎo)致某用戶內(nèi)網(wǎng)服務(wù)器中斷,所以前期采用的方法是對(duì)這臺(tái)虛擬機(jī)的流量進(jìn)行抓取分析,但是在抓取一段時(shí)間后,并沒(méi)發(fā)現(xiàn)異常。考慮到可能是不定期發(fā)包,因此決定進(jìn)行長(zhǎng)期抓包與系統(tǒng)全面分析的方法進(jìn)行分析。下面是我方進(jìn)行抓包分析情況:
抓包情況
全量抓取
抓取日期
2016年10月26時(shí) 16:07至2016年 10月 28 日14:35
抓包總時(shí)長(zhǎng)
1天22小時(shí)27分鐘
包總大小
75.3M
虛擬主機(jī)IP地址
192.168.61.130
抓了近兩天的數(shù)據(jù)包,總共包大小為75.3M,從數(shù)量上看,包的數(shù)量相對(duì)較少,應(yīng)該沒(méi)有進(jìn)行大流量攻擊行為。繼續(xù)深入分析數(shù)據(jù)包:
從數(shù)據(jù)包中發(fā)現(xiàn)有一處報(bào)文交互存在可疑,對(duì)其深入分析,發(fā)現(xiàn)在2016年10月27日13:55:50時(shí)這臺(tái)虛擬主機(jī)主動(dòng)外連183.61.171.154這臺(tái)主機(jī)的5896端口,并下載了一下bc.pl的文件,其源端口為37568,但是由于分析時(shí),該端口已無(wú)會(huì)話信息,所以無(wú)法分析當(dāng)時(shí)是哪個(gè)進(jìn)程。下面是這個(gè)過(guò)程的情況:
報(bào)文交互過(guò)程
時(shí)間
2016年10月27日 13:55:50
源IP
192.168.61.130
源端口
37568
目的IP
183.61.171.154
目的端口
5896
下載的文件
bc.pl
文件類型
Perl文件
安裝目錄
/tmp
文件權(quán)限
644
交互信息
文件存放路徑
對(duì)bc.pl文件查看,其源碼如下:
bc.pl源碼
根據(jù)源碼分析,其使用有socket函數(shù),并定義一些remoet_ip,remote_port等關(guān)鍵字,初步判定其為一個(gè)進(jìn)行遠(yuǎn)程控制用的惡意遠(yuǎn)控程序的部分文件。
對(duì)183.61.171.154這個(gè)目的IP進(jìn)行分析,發(fā)現(xiàn)其存在被僵尸網(wǎng)絡(luò)控制等情況,這臺(tái)主機(jī)可能并不是真正的原始攻擊者,攻擊者通過(guò)這臺(tái)主機(jī)作為跳板來(lái)攻擊其他主機(jī)。但是我們對(duì)這個(gè) IP的分析,可以證明上面的會(huì)話的確存在異常。
對(duì)其反向DNS解析,分析曾經(jīng)有哪些域名掛在這個(gè)IP上,可以看出這個(gè)IP 頻繁的更換其對(duì)應(yīng)域名,說(shuō)明這個(gè)IP對(duì)應(yīng)的主機(jī)可能早已被黑客控制,用來(lái)進(jìn)行黑客行為。下面是其反向DNS信息匯總:
繼續(xù)深入分析,看看183.61.171.154這臺(tái)主機(jī)上是否存在惡意文件,通過(guò)下圖可以看出183.61.171.154這臺(tái)主機(jī)存在較多惡意腳本。
183.61.171.154存在惡意樣本分析
通過(guò)上面分析,可以看出183.61.171.154這臺(tái)存在惡意腳本,判斷為被黑客控制的機(jī)器,黑客使用這臺(tái)作為跳板來(lái)入侵其他設(shè)備,因此某用戶外連這臺(tái)主機(jī)并下載bc.pl 這個(gè)文件,通過(guò)各方面綜合分析,判定 bc.pl是一個(gè)用來(lái)進(jìn)行遠(yuǎn)程控制的惡意文件。
2.1.2 與65.118.123.162異常交互
直接分析HTTP數(shù)據(jù)包,發(fā)現(xiàn)除了上面介紹下載的bc.pl文件以外,還有大量的 HTTP 請(qǐng)求,請(qǐng)求的內(nèi)容都為外連一個(gè)pl文件。
異常交互情況
提取相關(guān)信息,匯總?cè)缦拢?/span>
源IP
192.168.61.130
| 
