安恒信息:关于LNMP供应链投毒事件风险提示

PS:继OneinStack一键包被投毒事件后,LNMP.ORG军哥的一键包也被投毒,如有使用该程序的站长和企业请立即排查是否中招。

事件公告

近日,安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件。我们发现,在lnmp.org官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。

事件分析

LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/Debian/Ubuntu等或独立主机安装LNMP(Nginx/MySQL/PHP)、LNMPA(Nginx/MySQL/PHP/Apache)、LAMP(Apache/MySQL/PHP)生产环境的Shell程序。

安恒信息:关于LNMP供应链投毒事件风险提示

下载的安装程序与官网MD5值不一致

lnmp.org官网网站下载的安装程序(lnmp2.0.tar.gz,40bdcf7fd65a035fe17ee860c3d2bd6e)中,lnmp2.0includeinit.sh被攻击者植入恶意代码。

安恒信息:关于LNMP供应链投毒事件风险提示

被投毒文件与正常安装文件对比

其中lnmp.sh是被植入的恶意二进制程序,执行后首先会判断系统是否为RedHat服务器,随后从download.lnmp.life下载并解压恶意文件至/var/local/cron,通过crond服务实现持久化。

安恒信息:关于LNMP供应链投毒事件风险提示

lnmp.sh执行的恶意命令

通过crond进程建立DNS隧道通信。

安恒信息:关于LNMP供应链投毒事件风险提示

通过crond进程建立DNS隧道通信

自查方法

1、检查下载安装程序文件的MD5值是否与官网一致

文件名:lnmp2.0.tar.gz

正常文件MD5:

1236630dcea1c5a617eb7a2ed6c457ed

被投毒文件MD5:

40bdcf7fd65a035fe17ee860c3d2bd6e

2、检查/usr/sbin/crond文件完整性,检查/usr/sbin/crond文件近期是否被更改:

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond

安恒信息:关于LNMP供应链投毒事件风险提示

通过rpm检查/usr/sbin/crond文件完整性

IoC

恶意域名注册于2023-08-28 13:43:27,不排除官方安装包早在8月份就已遭投毒。

lnmp.site
download.lnmp.life
123.56.51.37
47.243.127.139
crond9cb3c03bbdb49f17e6a0913c7c6896b2
libad98d3136d5c60c33c1a829349e2040221
installc55a7752011a6c0ddc6eedb65e01af89
cr.jpg391547bd2be60733ff1136b277648ef4
s.jpg61ad56eec18a2997f526c19b4f93958c
libseaudit.so.2.4.676f524d8a6900f4dd55c10ddaffea52d
lnmp.shd5f083ae4ff06376b7529a977fa77408
lnmp2.0.tar.gz40bdcf7fd65a035fe17ee860c3d2bd6e

安恒信息CERT
2023年9月

本文转载至:https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ

原创文章,作者:陌涛,如若转载,请注明出处:https://imotao.com/7561.html

(0)
陌涛的头像陌涛
上一篇 2023年9月15日 下午11:12
下一篇 2023年9月26日 下午8:47

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据