黑產(chǎn)組織，即以違法活動獲取利益的產(chǎn)業(yè)，對企業(yè)機構(gòu)的網(wǎng)絡安全構(gòu)成了嚴重威脅。其擅長使用復雜的APT攻擊手段，悄無聲息地潛入網(wǎng)絡安全防線，破壞和盜取有價值的數(shù)據(jù)，甚至操控企業(yè)機構(gòu)的運營。

黑產(chǎn)組織經(jīng)常在各監(jiān)管單位組織的攻防演練中渾水摸魚，記一次安博通安全服務團隊在防守任務中，成功溯源并定位黑產(chǎn)組織的實戰(zhàn)。

Step 1：發(fā)現(xiàn)攻擊

安博通防守人員在日常監(jiān)測中，發(fā)現(xiàn)某個IP地址正在對企業(yè)的關(guān)鍵系統(tǒng)發(fā)起頻繁攻擊，在第一時間封禁該IP地址的同時，迅速對其進行追蹤溯源。

Step 2：威脅情報研判

經(jīng)過對攻擊IP的詳細分析，該攻擊源對企業(yè)下屬多家單位的多個對外網(wǎng)站和應用進行了攻擊。威脅情報顯示，該IP位于某地的公有云主機，已被標記為具有掃描行為的機器，從事漏洞利用違法行為。

該主機的攻擊手法主要分為兩個階段，具體信息如下表所示：

Step 3：攻擊線索溯源分析

傀儡機反制

該攻擊源掃描服務器存在Apache Flink服務，經(jīng)過對這一服務的深入研究分析，確認其存在未授權(quán)訪問漏洞和遠程代碼執(zhí)行漏洞。

隨后，使用自研安全工具，成功反制了該肉雞（傀儡）服務器。

傀儡機反制

深入分析

獲取該服務器權(quán)限后，發(fā)現(xiàn)其中存在大量的pnscan（一種開源的掃描工具，即挖礦蠕蟲病毒），正在不斷發(fā)起網(wǎng)絡連接，且連接端口大部分為Redis數(shù)據(jù)庫默認的服務端口6379。這說明，該掃描服務器正在執(zhí)行大量掃描任務。

pnscan正在執(zhí)行大量掃描任務

正待防守人員通過系統(tǒng)自帶的命令查看系統(tǒng)運行進程之時，這臺掃描服務器的機器系統(tǒng)命令已被黑產(chǎn)組織的腳本篡改。防守人員上傳自定義的Linux命令執(zhí)行工具，查看到具體的pnscan進程，并全面檢查了其他可疑進程。其中newinit.sh和xmas-bis.sh兩個進程存在異常，與此次攻擊事件的源頭相關(guān)聯(lián)。

兩個進程存在異常

通過進程關(guān)聯(lián)，定位到該進程的源文件位置，對源文件進行分析，發(fā)現(xiàn)xmas-bis.sh程序的邏輯相對簡單，主要行為是下載挖礦木馬，然后將木馬重命名，并連接到某地的礦池以啟動挖礦活動。

xmas-bis.sh程序

newinit.sh腳本則是一個較為復雜的程序，經(jīng)過深入研究最終確認該程序就是此次事件的主要控制程序，也是操縱pnscan掃描工具的父程序。對newinit.sh腳本的研究，揭示了一個具有高度復雜性和技術(shù)性的惡意程序的行為邏輯。

newinit.sh腳本的部分源代碼

對newinit.sh腳本的行為邏輯進行整理，其執(zhí)行流程如下圖所示：

防守人員在newinit.sh腳本中發(fā)現(xiàn)了一個名為a.oracleservice.top的惡意域名，它是挖礦木馬程序的備用下載地址。這表明，攻擊者為了確保惡意軟件的傳播，已經(jīng)預先準備了多個下載渠道。

預先準備的多個下載渠道

使用威脅情報對a.oracleservice.top域名進行查詢，該域名與“8220挖礦團伙”存在關(guān)聯(lián)，這為后續(xù)防范和打擊網(wǎng)絡攻擊提供了重要線索。接著對該腳本下載的挖礦主程序zzh的行為邏輯進行分析，該程序是根據(jù)開源挖礦程序XMRig改造編譯而成，樣本被加了upx殼。該木馬的執(zhí)行周期分為三個階段，如下表所示：

這一系列的惡意設計凸顯了攻擊者的技術(shù)能力和目標針對性。通過復雜的程序設計，攻擊者力求惡意軟件在目標系統(tǒng)中長期穩(wěn)定運行，實現(xiàn)利益的最大化。這不僅體現(xiàn)在木馬的啟動和運行上，還體現(xiàn)在其逃避分析與查殺、解決依賴問題等方面，充分展示了黑產(chǎn)組織的技術(shù)性和威脅性。

黑產(chǎn)組織揭秘

“8220挖礦團伙”即“8220_Gang團伙”，是一個長期活躍、擅長使用漏洞進行攻擊并部署挖礦程序的黑產(chǎn)組織。該組織早期使用Docker鏡像傳播挖礦木馬，后轉(zhuǎn)變?yōu)橥ㄟ^爆破或流行服務的各種Nday漏洞進行傳播。

2022年7月，“8220_Gang”已經(jīng)將其僵尸網(wǎng)絡擴展至全球約30,000臺主機，成為了不可忽視的龐大的“幕后黑手”。國家互聯(lián)網(wǎng)應急中心CNCERT已發(fā)布關(guān)于“8220_Gang”的通報信息，鏈接如下：https://www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf

安博通安全建議

針對黑產(chǎn)組織帶來的安全風險，安博通安全服務團隊結(jié)合近期攻擊趨勢，為企業(yè)機構(gòu)提出了以下安全實踐建議：

1、強化口令防護

黑產(chǎn)組織經(jīng)常利用爆破攻擊手段，對暴露在互聯(lián)網(wǎng)上的應用進行攻擊。建議企業(yè)機構(gòu)采用高強度口令并定期修改，以及使用雙重認證技術(shù)強化口令防護，減少被黑產(chǎn)組織攻擊的風險。

2、應用定期更新

對所有軟件和應用定期更新，及時安裝供應鏈廠商發(fā)布的安全補丁，以修復已知漏洞。同時定期進行漏洞掃描和滲透測試工作，盡早發(fā)現(xiàn)并修復應用系統(tǒng)中存在的安全漏洞，降低黑產(chǎn)組織通過應用漏洞入侵的可能性。

3、增進人員意識

定期進行網(wǎng)絡安全培訓，使員工增進辨別社會工程攻擊、釣魚郵件等欺詐手段的能力。實施模擬演練，有效提高員工在網(wǎng)絡安全方面的警惕性。建立簡單易行的網(wǎng)絡安全事件報告機制，鼓勵員工及時上報可疑活動，提高整體安全防范意識水平。

安博通安全服務團隊，擁有多年實戰(zhàn)攻防經(jīng)驗，以及豐富的安全服務項目的規(guī)劃、建設、實施經(jīng)驗。團隊成員中不乏0day漏洞的首發(fā)者和貢獻者，在CNVD國家信息安全漏洞共享平臺及各大SRC平臺獲得漏洞挖掘相關(guān)證書。

以實戰(zhàn)攻防為核心，匯聚強大安全力量，安博通在2023年度攻防演練實戰(zhàn)防守期間，共防御攻擊數(shù)量10余萬次，處置安全事件300余起，圓滿完成各企業(yè)網(wǎng)絡安全攻防演練防守任務。同時，在北京冬奧會冬殘奧會等大型活動中承擔應急響應任務，守護網(wǎng)絡空間的安全和數(shù)字世界的美好。