腾讯主机安全（云镜）捕获 Kaiji，DDoS 木马通过 SSH 爆破入侵

admin

感谢腾讯御见威胁情报中心来稿！
原文链接：https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg

一、概述

腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警SSH爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化，并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时，客户未遭受损失。
腾讯威胁情报中心建议企业用户检查Linux服务器上是否存在以下文件，若存在，建议删除木马文件并将SSH的登陆口令设置为强密码。
/usr/lib/8uc_bt
/usr/8uc_bt
/boot/8uc_bt
/root/8uc_bt.1
/root/8uc_bt
/dev/8uc_bt
/8uc_bt


腾讯安全系列产品针对Kaiji木马最新变种的响应清单如下：

应用 场景	安全产品	解决方案
威</p>胁 情 报	腾讯T-Sec 威胁情报云查服务 （SaaS）	1）Kaiji木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
	腾讯T-Sec 高级威胁追溯系统	1）Kaiji木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts
云原生 安全 防护	云防火墙 （Cloud Firewall，CFW）	基于网络流量进行威胁检测与主动拦截，已支持： 1)Kaiji木马关联的IOCs已支持识别检测； 2)检测SSH弱口令爆破攻击； 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw
	腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP）	1)已支持查杀kaiji木马程序； 2)支持检测SSH弱口令爆破攻击； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp
	腾讯T-Sec 安全运营中心	基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html
非云企业安全防护	腾讯T-Sec 高级威胁检测系统 （腾讯御界）	1)已支持通过协议检测kaiji木马与服务器的网络通信； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta
	腾讯T-Sec终端安全管理系统（御点）	1）可查杀kaiji木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

二、详细分析

SSH是 Secure Shell的缩写，由IETF的网络小组（Network Working Group）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。云上服务器使用SSH服务的占比较高，而部分用户往往又未对其采取安全的配置，使得SSH监听在默认的22端口且不具备高强度密码、甚至使用空口令，导致黑客可轻易针对服务器22端口进行爆破入侵。Kaiji以root用户为目标，通过SSH暴力破解进行攻击传播。Kaiji通过根用户登陆，可以实现某些自定义网络数据包的DDoS攻击（在Linux中，自定义网络数据包仅提供给特权用户）。建立SSH连接后，会执行bash脚本，下载二进制木马文件8uc_bt并执行。
8uc_bt采用golang编写，执行后会通过修改系统初始化脚本init.d将恶意代码添加到启动项。

然后解密内置的C2服务器地址。




进入Main_doTask循环代码，从C2：a.kaiqingd.com:2323获取命令并执行。
执行的命令包括：

• DDoS指令；
  
• SSH暴力破解指令；
  
• 运行shell命令；
  
• 替换C2服务器；
  
• 删除自身和所有持久化任务。
  
  

其中DDoS 攻击类型包括：

• tcpflood
  
• udpflood
  
• getflood
  
• tapflood
  
• tcpddosag
  
• synddos
  

部分执行命令的函数名如下：
main_runkshell：通过rc.d和Systemd服务安装持久性；
main_runghost：通过/etc/profile.d（/etc/profile.d/linux.sh）安装持久化任务；
main_rundingshi（汉字拼音：运行定时）：通过crontab安装持久化任务；
main_runshouhu（汉字拼音：运行守护）：调用rootkit，将rootkit复制到/etc/32679并每30秒运行一次；
main_Getjiechi、main_Jiechixieru、main_Jiechigo（汉字拼音：劫持写入）：通过劫持系统程序启动木马。
其中“dingshi”、“shouhu”、“jiechi”等汉语拼音字符显示该木马作者疑似来自国内。

IOC

Md5

348e35db572ad76271220280c5a64190

C&C

a.kaiqingd.com:2323

IP

113.200.151.118 (ZoomEye搜索结果）

参考链接：

https://securityaffairs.co/wordpress/102753/malware/kaiji-linux-iot-malware.html
https://www.intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang

123457468

永远支持黑防联盟

老窝牛

真的可以用，感谢楼主，顶一下

xiongjiuhe101

支持一下，希望楼主做的更好，加油

和你相伴1

这个非常给力  ，感谢楼主

球死禁严

支持一下，希望楼主做的更好，加油

分裂的硬盘悔

6666666666666

里脊鱼鱼si

我总是手太软，心更软，没有话题还陪你侃。上机总是简单，下机太难，现在睡觉，不再勉强。

叶小琛小m

立顶黑防、立顶楼主，希望黑防越办越好

123458001

触及到我的知识盲区了。