Aspetto dell'igname bitcoin miner

2

Avevo una VM basata su Ubuntu 16.04.03 e l'unico pacchetto aggiunto ad esso era OpenVPN. Lo scopo era quello di fornire una VPN nella mia rete privata situata all'interno dell'ambiente cloud. L'hypervisor è anche 16.04.03.

L'altro giorno ho notato il 100% di utilizzo della CPU e una volta effettuato l'accesso ho notato un processo "yam" che consumava tutti i cicli utente. La ricerca di Google ha rivelato che probabilmente è un bitcoin miner.

Nessuna delle altre macchine virtuali sul sistema o sull'hypervisor sembrava essere interessata. Ho 20 core iperthreaded su quel sistema, quindi ho pensato che se il malware fosse stato in grado di farlo sarebbero andati oltre 40 thread invece dei 2 che avevano.

Quindi ho ucciso il processo, poi ho rimosso la VM con l'intento di ricostruirla al mattino. Scioccamente non ho intrapreso altre azioni.

Al mattino ho scoperto che tutte le macchine virtuali su quel sistema erano giù e le password erano state modificate sull'hypervisor. Ho potuto effettuare il login tramite un'autenticazione con chiave_autenticazione SSH, ma non ho potuto eseguire sudo con la mia normale password. Peggio ancora, lo zpool ZFS era stato distrutto. Tutti gli aggiornamenti di Ubuntu sono stati applicati.

Quindi sono dovuto andare al sito di localizzazione di co-hosting (fortunatamente locale) e ripristinare il sistema con l'accesso alla console. Sono stato in grado di richiamare l'array di archiviazione e le altre macchine virtuali. Ho cambiato tutte le password (un bel po 'di queste sono un po' dolorose.)

Quindi le mie domande sono le seguenti:

  1. Quale exploit potrebbe essere stato utilizzato per entrare nella VM VPN ma non nelle altre? Solo che VM aveva OpenVPN su di esso.

  2. Quale exploit potrebbe essere stato utilizzato per rimuovere l'array ZFS e le password nell'hypervisor? È possibile che l'exploit sia stato chiuso dagli aggiornamenti?

  3. Mi sembra che se avessero avuto accesso alla shell di root avrebbero potuto fare più danni di loro. Il fatto che non siano a) perché erano "belli" o b) non avevano davvero quel livello di accesso?

Mi rendo conto che queste domande non possono essere risolte in modo definitivo con i dettagli delle informazioni che ho qui, ma qualsiasi consiglio o suggerimento da parte di qualcuno che ha esperienza con una situazione simile sarebbe probabilmente utile.

    
posta AlanObject 15.02.2018 - 19:07
fonte

1 risposta

2

Come hai detto, è difficile fare buone ipotesi, quindi questa non è una risposta completa (sarebbe stato un commento ma è troppo lungo per quello).

It seems to me that if they had root-shell access they could have done a lot more damage than they did. Is the fact that they did not a) because they were being "nice" or b) they didn't really have that level of access?

Nella mia (limitata) esperienza, gli aggressori dei server spesso non sono nemmeno interessati all'accesso come root, a ciò che vogliono fare (impostare un mailer di spam, un bitcoin miner o utilizzare il sistema come proxy per vari scopi) non lo richiedono Gestisco i server connessi a Internet da 15 anni e non ho ancora trovato un utente malintenzionato interessato principalmente alla distruzione del sistema che ha assunto (ma come ho detto, ho solo una manciata di casi che posso guardare torna a).

What exploit might have been used to take down the ZFS array and passwords in the hypervisor? Is it possible the exploit could have been closed by the upgrades?

Questo è quello che mi preoccuperei di più. Mi chiedevo come facevano gli intrusi a toccare l'hypervisor. Nella mia mente ci sono 3 opzioni:

  1. Hanno attaccato l'hypervisor tramite un servizio di rete in esecuzione sull'hypervisor (probabilmente ssh se è l'unico)

  2. L'hanno attaccato attraverso il filesystem ZFS condiviso (a seconda di cosa esattamente stai condividendo in ZFS, è molto probabile o praticamente impossibile)

  3. Hanno attaccato la VM e poi sono fuggiti dalla VM nell'hypervisor.

L'opzione 3 mi avrebbe dato degli incubi. È possibile, ci sono varie dimostrazioni sulle conferenze sulla sicurezza, ma non ne ho mai sentito parlare molto in natura.

Che cosa fare

Dato che le tue domande quasi certamente non possono essere risolte da nessuno qui, dovrai rispondere da solo. Lo fai controllando i tuoi sistemi, cercando il punto di ingresso del malware.

Se riesci a scattare un'istantanea della tua VM (o ancora meglio, crearne una copia), questo è un buon modo per preservare la possibile prova del metodo breakin. Se non puoi, dovrai lavorare sulla VM live.

Scoprire come un intruso è penetrato nel tuo sistema è importante perché se non lo fai, non ti puoi fidare che il tuo sistema non venga nuovamente infettato. Quindi non c'è davvero alcun modo per aggirarlo.

Una volta che sai come sono arrivati gli attaccanti, dovrai decidere se installare il tuo sistema da zero e chiudere il buco, o cercare di scoprire quali sono i motivi degli aggressori. Se segui la seconda strada, corri il rischio di indovinare e lasciare un sistema di cui non puoi più fidarti, perché potrebbe contenere ancora sorprese malevoli che gli aggressori hanno lasciato.

Io voterei per la reinstallazione completa, ma a volte dalle cose che un utente malintenzionato ha fatto sul tuo sistema, puoi dire con molta sicurezza che era interessato solo a una cosa (come i bitcoin di mining), e una volta rimosso, puoi essere abbastanza sicuro che il tuo sistema sia di nuovo pulito. Eppure, è un rischio.

    
risposta data 15.02.2018 - 20:39
fonte

Leggi altre domande sui tag