以威胁情报视角看最近超算系统受攻击事件
字数 1089 2025-08-15 21:31:05

超算系统网络攻击事件分析与防御教学文档

事件概述

2020年5月,英国爱丁堡大学用于新冠病毒研究的超算系统Archer遭受网络攻击被迫下线。攻击者利用恶意软件感染超算系统进行挖矿活动,并通过SSH证书漏洞进行横向移动渗透。

攻击技术分析

攻击手法

  1. 初始入侵

    • 利用波兰克拉科夫大学、中国上海交通大学和中国科学技术网的受控系统作为跳板
    • 通过学术交流环境下的互信SSH登录机制进行渗透

  2. 横向移动

    • 利用无密码的SSH私钥证书在不同系统间跳跃登录
    • 利用CVE-2019-15666等漏洞实现本地权限提升
    • 通过不安全的SSH登录途径进行横向移动

  3. 恶意软件部署

    • 使用名为"fonts"的文件作为感染loader
    • 使用名为"low"的文件删除感染痕迹实现隐蔽

恶意软件分析

Loader特征

  • 简单调用脚本,可从setuid命令以root权限运行任意命令
  • 在受害者系统中进行定制化编译,导致样本多样化

Cleaner特征

  • 负责删除入侵相关的痕迹和日志线索
  • 包含异或编码字符串
  • 主要清除系统日志文件

挖矿活动

  • 攻击者将91.196.70[.]109服务器作为门罗币(XMR)挖矿矿池
  • 使用自签名证书,互联网上有8个服务器部署相同证书

技术指标(IOC)

Loader哈希值

MD5: fe9a46254cf233fcafeada013d0ec056
SHA-1: 72690c644f7c7970b9ce9c2c9b9da31463ea0916
SHA-256: 0f8a1c0f706d8e70f3240abd788a193426302322916cf4e9358d05116f6231ec

Cleaner哈希值

MD5: 780f236fb3646534832b2da9d5cf6eb0
SHA-1: 05baffad9ad7225e8043e79677d0a50e586e683b
SHA-256: 552245645cc49087dfbc827d069fa678626b946f4b71cb35fa4a49becd971363

相关IP地址

  • 跳板IP: 149.156.26.227, 159.226.234.29
  • 矿池服务器: 91.196.70.109

检测规则

Yara规则

rule loader {
    string: $ = { 61 31 C2 8B 45 FC 48 98 }
    condition:
    all of them
}

rule cleaner {
    strings:
    $ = { 14 CC FC 28 25 DE B9 }
    condition:
    all of them
}

杀毒软件检测名称

  • ESET: Linux/Agent.IT
  • Kaspersky: Linux.Loerbas.gen
  • APT_LNX_Academic_Camp_May20_Loader_1

防御建议

  1. SSH安全加固

    • 禁用无密码SSH私钥登录
    • 定期轮换SSH证书
    • 实施SSH双因素认证

  2. 漏洞管理

    • 及时修补CVE-2019-15666等已知漏洞
    • 定期进行漏洞扫描和评估

  3. 日志监控

    • 实施集中式日志管理
    • 监控关键日志文件的异常删除行为
    • 设置日志文件完整性保护

  4. 恶意软件防护

    • 部署基于IOC的检测规则
    • 实施文件完整性监控
    • 限制setuid命令的使用

  5. 网络隔离

    • 限制超算系统间的互信访问
    • 实施网络分段和最小权限原则
    • 监控异常外联流量(特别是到矿池的流量)

  6. 应急响应准备

    • 建立云取证分析和响应平台
    • 制定超算系统安全事件响应预案
    • 定期进行安全演练

历史相似案例

此次攻击与《杜鹃蛋》(The Cuckoo's Egg)中描述的1989年劳伦斯伯克利国家实验室入侵事件有相似之处,都是针对科研机构的系统性入侵。

超算系统网络攻击事件分析与防御教学文档 事件概述 2020年5月,英国爱丁堡大学用于新冠病毒研究的超算系统Archer遭受网络攻击被迫下线。攻击者利用恶意软件感染超算系统进行挖矿活动,并通过SSH证书漏洞进行横向移动渗透。 攻击技术分析 攻击手法 初始入侵 : 利用波兰克拉科夫大学、中国上海交通大学和中国科学技术网的受控系统作为跳板 通过学术交流环境下的互信SSH登录机制进行渗透 横向移动 : 利用无密码的SSH私钥证书在不同系统间跳跃登录 利用CVE-2019-15666等漏洞实现本地权限提升 通过不安全的SSH登录途径进行横向移动 恶意软件部署 : 使用名为"fonts"的文件作为感染loader 使用名为"low"的文件删除感染痕迹实现隐蔽 恶意软件分析 Loader特征 简单调用脚本,可从setuid命令以root权限运行任意命令 在受害者系统中进行定制化编译,导致样本多样化 Cleaner特征 负责删除入侵相关的痕迹和日志线索 包含异或编码字符串 主要清除系统日志文件 挖矿活动 攻击者将91.196.70[ . ]109服务器作为门罗币(XMR)挖矿矿池 使用自签名证书,互联网上有8个服务器部署相同证书 技术指标(IOC) Loader哈希值 Cleaner哈希值 相关IP地址 跳板IP: 149.156.26.227, 159.226.234.29 矿池服务器: 91.196.70.109 检测规则 Yara规则 杀毒软件检测名称 ESET: Linux/Agent.IT Kaspersky: Linux.Loerbas.gen APT_ LNX_ Academic_ Camp_ May20_ Loader_ 1 防御建议 SSH安全加固 : 禁用无密码SSH私钥登录 定期轮换SSH证书 实施SSH双因素认证 漏洞管理 : 及时修补CVE-2019-15666等已知漏洞 定期进行漏洞扫描和评估 日志监控 : 实施集中式日志管理 监控关键日志文件的异常删除行为 设置日志文件完整性保护 恶意软件防护 : 部署基于IOC的检测规则 实施文件完整性监控 限制setuid命令的使用 网络隔离 : 限制超算系统间的互信访问 实施网络分段和最小权限原则 监控异常外联流量(特别是到矿池的流量) 应急响应准备 : 建立云取证分析和响应平台 制定超算系统安全事件响应预案 定期进行安全演练 历史相似案例 此次攻击与《杜鹃蛋》(The Cuckoo's Egg)中描述的1989年劳伦斯伯克利国家实验室入侵事件有相似之处,都是针对科研机构的系统性入侵。