HomeOur Team
System operator: Những câu chuyện chưa từng được kể (Phần 2)
Others
System operator: Những câu chuyện chưa từng được kể (Phần 2)
minh.pham
minh.pham
April 17, 2021
3 min

Lý do

Sau khi viết Phần 1, cậu em hỏi mình “bao giờ có phần 2 anh ơi”. Ô, thực lòng mình nghĩ làm gì có phần 2 :D, đã nghĩ được gì đâu mà viết :D, sau một hồi suy nghĩ thì ok, chia sẻ thêm 1 chút vậy (phần này là từ phần 1 định bỏ)

Lời mở đầu:

  • Nội dung trong bài viết này tập trung về việc tìm hiểu loại trojan đã lây nhiễm được đề cập trong Phần 1, cũng như cách hoạt động và nguồn gốc của nó.
  • Mình có sử dụng báo cáo từ trung tâm “Tencent Security Threat Intelligence Center” về botnet sẽ được đề cập phía dưới bài viết.
  • Bài viết không tập trung chi tiết vào kỹ thuật khai thác và truy vết như thế nào ? nên nội dung của nó sẽ khá tẻ nhạt (bạn nên cân nhắc trước khi tiếp tục đọc :D).

Nội dung chính:

  • Trong phần trước chúng ta đã thấy một virus trojan chạy dưới tiến trình kthreaddi, vậy cụ thể nó là loại trojan gì và nguồn gốc nó ra sao ?
  • Thực tế là trong access log ở phần 1 mình thấy khá nhiều logs dạng như này:

alt text
Image 1

  • Hãy cùng chú ý đến đoạn này
/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP2
/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1]=1
  • Nó liên quan đến 1 lỗi khác có mã là CVE-2017-9841, Khai thác lỗ hổng PHPUnit RCE để lây nhiễm hệ thống người dùng
  • Sau khi tìm hiểu thì server bị quét và tấn công bởi 1 mạng Botnet có tên là Sysrv-hello, chắc các bạn chưa quên ở phần 1 ta có tấm ảnh này

alt text
Image 2

  • Theo báo cáo từ trung tâm bảo của Tencent (Tencent Security Threat Intelligence Center) thì *Sysrv-hello được tìm thấy lần đầu tiên vào tháng 12/2020. Và đến tháng 01/2021 thì nhóm này đã sử dụng lỗ hổng Weblogic của Oracle (CVE-2020-14882) để tấn công.

  • Và có vẻ như tác giả của mạng botnet Sysrv này đã làm việc rất chăm chỉ để đưa ra các bản phần mềm độc hại có độ phức tạp hơn qua các bản nâng cấp của họ. Mục đích là để cài đặc các mã độc đào coin và kiếm lợi nhuận bằng cách sử dụng CPU của máy chủ bị tấn công.

  • Ngoài một số phương thức tấn công truyền thống vào các dịch vụ như:

    • Mysql
    • Tomcat
    • Nexus
  • Thì đã có thêm 5 phương thức tấn công mới được thêm vào là:

    • Jupyter (khai thác mật khẩu yếu)
    • WordPress (khai thác mật khẩu yếu)
    • Jenkins (khai thác mật khẩu yếu)
    • Redis (lỗi unauthenticated và thực thi tác vụ)
    • Apache Solr (lỗ hổng thực thi từ xa)
  • Cụ thể mà máy chủ của mình bị dính ở Phần 1 mà có các mã giao dịch:

alt text
Image 3

Giao dịch trên đã đẩy thẳng đến 1 Mining pool có tên là https://minexmr.com. Mining pool hiểu nôm là một nơi tập hợp cho nhiều thợ đào cùng hợp lực với nhau và khi 1 thợ đào trong khối giải được mã và tìm thấy coin thì hệ thống sẽ chia sẻ phần thưởng cho những thợ đào khác.

alt text
Image 4

alt text
Image 5

  • Mình xin kết thúc chuỗi câu chuyện hư cấu này ở đây, sẽ có nhiều câu hỏi được đặt ra là sao hư cấu mà có capture hình ảnh và phân tích thật thế. Và mình có đưa ra 1 số nhận định nhé :D
    • Do từ đầu mình đã nói là câu chuyện hư cấu nên mình đã tự khai thác và tự viết lên bài này
    • Sắp đến kỳ checkpoint nên tỏ ra nguy hiểm tý :D
  • Mình để kết thúc mở, lý do sẽ do sẽ chính là điều các bạn đang nghĩ :D

*) Xin chân thành cảm ơn !


minh.pham

minh.pham

Developer

Related Posts

Nên bắt đầu từ đâu để trở thành nhân viên kiểm thử phần mềm (Tester)
Nên bắt đầu từ đâu để trở thành nhân viên kiểm thử phần mềm (Tester)
April 16, 2021
7 min
Dãy số Fibonacci
© 2021, All Rights Reserved.

Quick Links

HomeOur Team

Social Media