近日,微步在线工作人员在对某用户首次部署上线的OneEDR进行远程巡检时,发现告警。经过对系统中告警主机与风险主机研判分析,确认是老牌APT组织OldFox(“老狐狸”APT组织,微步在线发现并命名)发起的又一次网络攻击。
在OneEDR控制台中,对用户数据中心内的5台CentOS主机发出了告警,其中:
2台主机存在OldFox组织的后门程序kworker;
1台主机存在名为“m.php”的Webshell程序;
2台存在恶意的pam_unix.so后门程序,其中一台还存在已知后门能执行系统命令的so模块mod_auth_pam.so。
图注:在OneEDR控制台的告警信息,5台主机存在多种恶意攻击软件/程序
图注:OneEDR控制台中定位到的恶意软件/程序信息
经微步在线工作人员逆向分析:
位于“/usr/sbin”中的kworker程序会反弹外联到攻击者的poolntp.