antony@notes:~/misc$ cat "資安事件報告-proxy-ap1-192.168.1.21-加密貨幣挖礦惡意程式入侵.md"
資安事件報告 - proxy-ap1 (192.168.1.21) 加密貨幣挖礦惡意程式入侵
資安事件調查報告:proxy-ap1 伺服器遭資源劫持與潛伏入侵 (修訂版)
1. 事件概要
內部跳板與開發伺服器 proxy-ap1 (IP: 192.168.1.21) 遭未授權入侵。經鑑識確認,本事件為典型的 加密貨幣資源劫持 (Cryptojacking),攻擊者透過對外暴露的 SSH 服務進行長期的密碼暴力破解,成功取得系統 root 權限。
攻擊者入侵後展現出高度的隱蔽技巧:
- 降權躲避查緝:取得
root後,刻意切換至一般使用者andy的身分,於/var/tmp/目錄下執行挖礦程式,以避免在系統資源監控(如top)中出現root執行高耗能程序的突兀現象。 - 雙軌營利模式:同時運行傳統的 XMRig 惡意挖礦(挖掘 Monero)與合法的 Vortix Cloud DePIN 算力出租節點(
vortix-agent),多管齊下榨取伺服器算力。 - 深度潛伏:部署了
sshdd.so(利用LD_PRELOAD機制的 Userland Rootkit) 來隱藏實體檔案,並建立systemd幽靈帳號與sudoers免密碼提權後門,確保能長期掌控系統。
本事件未發現明確的資料外洩 (Data Exfiltration) 傳輸行為。初始調查中 /var/tmp/syst3md.1~8 出現的 2025 年 11 月 檔案時間戳記,經查證為攻擊者使用 wget 或 curl 下載工具時,保留了中繼伺服器上原始檔案之 Last-Modified 時間所致(Time-stomping 假象),實際入侵時間確認為 2026 年 2 月 15 日。
2. 受影響範圍評估
- 確診受害主機:
proxy-ap1(192.168.1.21) - 初始感染源 (Patient Zero):
proxy-ap1伺服器本身(因 SSH 對外開放且密碼遭暴力破解),已排除終端使用者andy之個人電腦遭惡意程式感染的風險。 - 橫向移動風險評估: 雖然攻擊者主要目標為挖礦,但因其曾掌握
root權限長達 80 餘天,伺服器上曾存放之bbg等使用者的 SSH 私鑰、GitLab 密碼及各類環境變數 Token 均需視為「已遭曝露」。內網 K8s/RKE2 節點(192.168.1.12 等 30+ 台主機)具有潛在橫向感染風險,需全面清查。
3. 攻擊時間軸 (Timeline)
| 發生時間 | 攻擊階段 | 關鍵事件與動作描述 |
|---|---|---|
| 2026-01 至 02 月 | 初始存取 (Initial Access) | 系統遭來自多個海外 IP (如 121.64.89.228) 之持續性 SSH 暴力破解攻擊,導致 btmp 錯誤登入日誌暴增至 258MB。 |
| 2026-02-15 13:06 | 破城與持久化 | 攻擊者成功猜中 root(或具 sudo 權限帳號)密碼。登入後上傳 Launcher (/usr/bin/log)。 |
| 2026-02-15 13:07 | 佈署後門 | 植入 Rootkit (sshdd.so);建立幽靈帳號 systemd (UID 1003) 並修改 /etc/sudoers 賦予免密碼提權能力。 |
| 2026-02-15 13:08 | 降權執行挖礦 | 啟用 /etc/ld.so.preload 隱藏行蹤;切換為 andy 身份,下載並執行 XMRig 礦工 (syst3md / /var/log/log)。(註:此時下載的檔案帶有 2025-11-19 之原始 HTTP 標頭時間)。 |
| 2026-03-02 | 工具更新 | 攻擊者下載 mOymN.gz (6MB 工具包)。 |
| 2026-03-28 | 部署 DePIN 獲利 | 攻擊者上傳 vortix-agent (15.7MB) 並執行,開始利用 Vortix Cloud 進行算力出租獲利。 |
| 2026-04-18 | 持續活動 | 下載器腳本 cli 進行最後一次更新。 |
| 2026-05-06 | 偵測與應變 | 管理員發現異常 (LD_PRELOAD 攔截),展開鑑識,確認入侵路徑並進行緊急止血。 |
4. 威脅指標 (IoCs)
4.1 惡意檔案與 Hash (SHA256)
- Rootkit (
/usr/local/lib/sshdd.so):acb2e78d748e9a22e80c386a58f6377f683fce556bc64da2bd6d82b2a9207e3c - Launcher (
/usr/bin/log):c8e59338f471e255a40e13ef810db7db98ce018e417211ca0bdf90ef8cdd3894 - XMRig Miner (
/var/log/log&/var/tmp/syst3md.1):dcf343df280816c4856ee164b9b4b14906a09b1fd4bfab604ee9370529ed61d1 - Vortix CLI (
/var/tmp/cli):c21fa4c1d6ed5342e49ef0561cc566a2cbe06a83f6298374fe9cb4f8027b6911 - Vortix Agent (
/var/tmp/vortix-agent):c6b67c7ffc11c67eea889b8e0eef6891123123388297e0deaa490837a7b06833 - Tool Archive (
/var/tmp/mOymN.gz):ac15860162f216d03e374d07f7eeb42944e4b0f08e78ea2468f3df9cbdb860cf
4.2 系統入侵跡證
- 檔案隱藏機制:
/etc/ld.so.preload(內容包含/usr/local/lib/sshdd.so) - 持久化服務:
/etc/systemd/system/log.service - Cron 後門:
/etc/cron.hourly/0(權限5777,大小 0 bytes) - 提權後門帳號:
/etc/passwd中存在偽裝帳號systemd:x:1003:1003:.../etc/sudoers中存在越權設定systemd ALL=(ALL) NOPASSWD:ALL
4.3 網路與通訊 (Network/C2)
77.221.157.206:6196(Rootkit 內建 C2)141.95.72.59(Rootkit 內建 C2)139.99.125.38(Rootkit 內建 C2)139.99.123.196(Rootkit 內建 C2)141.94.96.71:3333(活動礦池)94.26.106.195(HTTP Staging Server,提供cli等惡意程式下載)pool.supportxmr.com:9000(合法 Monero 礦池,遭濫用)
4.4 攻擊者 Vortix DePIN 識別標記 (Tokens)
uUbGvGz7zAMgGtHsTo8EOi1krvj+OPi7SF5UMeoCJnU=jUliaNLclI34oUpjC7ewra/HjEuw+UgYa7jrpxMBC3k=
5. 攻擊手法分析 (MITRE ATT&CK Mapping)
| 階段策略 | 技術編號 | 技術名稱 | 具體行為對應 |
|---|---|---|---|
| Initial Access | T1110.001 | Password Guessing | 針對伺服器對外 SSH 服務進行密集密碼暴力破解。 |
| Execution | T1059.004 | Unix Shell | 利用 Bash 執行 wget/curl 下載腳本與執行檔。 |
| Privilege Escalation | T1548.003 | Sudo and Sudo Caching | 建立 systemd 帳號並於 /etc/sudoers 寫入 NOPASSWD:ALL 後門。 |
| Defense Evasion | T1070.006 | Timestomp | 利用 wget 預設行為保留伺服器端舊時間戳記,造成調查干擾。 |
| Defense Evasion | T1548.002 | Bypass User Account Control | 取得 root 後刻意切換為 andy 身份執行耗能程式,規避直覺查緝。 |
| Defense Evasion | T1574.006 | Dynamic Linker Hijacking | 植入 sshdd.so 劫持 LD_PRELOAD,攔截目錄與檔案讀取 API。 |
| Persistence | T1546.004 | Unix shell Configuration | 利用 Systemd (log.service) 與 Cron (/etc/cron.hourly/0) 進行駐留。 |
| Impact | T1496 | Resource Hijacking | 同時執行 XMRig 與 Vortix Agent,劫持運算力進行雙重加密貨幣獲利。 |
6. 處置與防護建議
6.1 立即止血 (Containment)
- 強制中止惡意程序: 中止
/var/log/log、/usr/bin/log、cli、vortix-agent等程序,並全面停用log.service。 - 根除 Rootkit 與實體檔案: 刪除
/etc/ld.so.preload解除系統攔截,清理/var/tmp/下之所有惡意工具與備份。 - 封堵後門帳號: 於
/etc/passwd、/etc/shadow刪除systemd偽裝帳號,並修改/etc/sudoers移除越權規則。 - 網路封鎖: 於上層防火牆 (Firewall/Security Group) 設定阻擋已知之 C2 節點、礦池 IP 及 Staging Server。
6.2 系統重建與憑證輪替 (Eradication & Recovery)
- 作業系統重裝: 由於伺服器曾遭 Rootkit 高度掌控逾 80 天,強烈建議從乾淨的 ISO 映像檔重新安裝作業系統,僅可遷移純資料檔案(如設定檔、資料庫 dump),切勿直接複製執行檔或系統腳本。
- 全面撤銷與輪替憑證:
- 強制重設所有伺服器本機帳號密碼。
- 撤銷伺服器上
andy與bbg等所有使用者的 SSH 私鑰,並重新核發。 - 重設所有可能於伺服器上曝露之第三方憑證(如 GitLab Admin、K8s Secret 等)。
6.3 長期安全強化 (Post-Incident)
- 阻斷暴力破解根源 (最高優先級): 修改
/etc/ssh/sshd_config,設定PasswordAuthentication no,全面強制僅能使用 SSH 金鑰登入。 - 存取來源限制: 透過防火牆限制 SSH 服務僅允許信任的來源 IP(如公司 VPN 網段)連線。
- 橫向掃描與威脅通報:
- 使用本報告之 IoC 腳本,清查所有
bbg曾登入過之內網 K8s 節點。 - (選用)附上攻擊者 Token 向
abuse@vortix.cloud提出檢舉,阻斷攻擊者利用合法 DePIN 平台之洗錢管道。
- 使用本報告之 IoC 腳本,清查所有