OneinStack供应链投毒事件分析与防护指南

OneinStack供应链投毒事件分析与防护指南 一、事件概述 事件名称 ：OneinStack供应链投毒事件 威胁等级 ：高危 影响范围 ：近期使用OneinStack部署于RedHat系统的站点 攻击类型 ：供应链投毒攻击 发现时间 ：2023年5月15日 发现机构 ：深信服千里目安全技术中心 二、事件详细描述 1. 攻击方式 攻击者通过篡改OneinStack官方安装包实施供应链攻击： 官方网站下载的安装包(oneinstack-full.tar.gz)被植入恶意链接 文件 /usr/local/src/oneinstack/include/openssl.sh 被植入恶意代码 恶意代码会从攻击者控制的服务器下载 oneinstack.jpg 文件 2. 恶意行为流程 用户从恶意地址下载 oneinstack.jpg oneinstack.jpg 解压并执行 ./cron 目录下的 load 脚本(仅在RedHat服务器运行) 受害主机上会下载多个恶意文件： t.jpg s.jpg install cr.jpg libaudit.so.2 通过 crond 、 yasio 等进程建立DNS隧道通信 三、技术指标(IoC) 1. 恶意IP地址 8.210.226.191 47.243.39.207 2. 恶意域名 oneinstack.cnoneinstack.com download.cnoneinstack.com 3. 恶意文件哈希 | 文件名 | MD5哈希值 | |--------|-----------| | oneinstack.jpg | ec868c324e8778d8b3f9d77096720def | | oneinstack-full.tar.gz | fc897d5abba2dbff00fb6b88da878ba8 | | libaudit.so.2 | d892764619456d107894eb4220774d0b | | load | 52448a6b782d12adc7b9ce2e54a11802 | 四、检测与防护措施 1. 检测方法 检查系统中是否存在以下文件： /usr/local/src/oneinstack/include/openssl.sh (检查是否被篡改) ./cron/load t.jpg , s.jpg , install , cr.jpg , libaudit.so.2 检查进程列表中是否有异常进程： crond (异常行为) yasio 检查网络连接中是否有与IoC中IP地址的通信 2. 防护措施 立即措施 ： 停止使用OneinStack官方提供的安装包 隔离已感染主机 检查所有使用OneinStack部署的系统 长期防护 ： 使用软件供应链验证机制 部署端点检测与响应(EDR)解决方案 实施网络流量监控，特别是DNS隧道检测 定期更新威胁情报并扫描系统 替代方案 ： 考虑使用其他已验证安全的部署工具 等待官方确认修复后再使用OneinStack 五、参考资源 GitHub问题追踪 深信服千里目安全技术中心后续技术分析(关注其官方公众号) 六、事件状态 作者已确认该事件 截至报告发布时(2023年5月15日)，相关恶意IoC情报尚未被多数威胁情报平台标记 七、后续行动建议 关注OneinStack官方发布的修复方案 更新安全设备和系统的威胁情报库 对受影响系统进行全面安全检查 修改所有可能泄露的凭证 审查系统日志，确定攻击范围和影响程度 注意 ：本指南基于2023年5月15日的情报编写，随着事件发展，可能会有新的发现和应对措施，建议持续关注相关安全公告。