就在前不久，我自己部署的一个蜜罐受到了一次特别严重的攻击，其中涉及到了两个远程访问工具和一个加密货币恶意挖矿文件。接下来，我将在这篇文章中跟大家分析一下这一波攻击，并看看攻击者所使用的攻击技术。值得一提的是，现在的互联网中这类攻击每秒钟都会发生一次。初始感染根据攻击文件的内容，我将此次攻击命名为了“Dota Campaign”。在此攻击活动中，攻击者通过弱SSH凭证获取到了目标设备的初始访问权。我的SSH蜜罐所使用的用户名和密码均为salvatore，下面给出的是我SSH日志的初始登录数据：完成认证之后，攻击者立刻通过SSH执行了系统命令，而且所有命令都是通过实际的SSH命令传递进来的，因为我的系统是一个安装了自定义OpenSSH版本的蜜罐，所以我们可以查看到攻击者执行的命令：首先，攻击者通过HTTP向主机54.37.70[.]249请求了一个名为.x15cache的文件，然后在等待了10秒钟之后执行了该文件。除此之外，攻击者还将用户密码修改为了一个随机字符串。.x15cache文件的内容如下：由此看来，.x15cache文件应该只是一个负责设置环境的Dropper，它还会获取主机54.37.70[.]249中的其他文件。第二个文件名叫dota2.tar.gz，这个tar文件包含的是一段恶意代码，目录名为.rsync。我用我的文件检测脚本提取了该文件中的部分内容：.x15cache脚本会切换到这个.rsync目录中，然后尝试执行./cron和./anacron文件。攻击者使用了“