感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg   攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。 一、背景 腾讯安全威胁情报中心研究人员在日常巡检中发现，有攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。 进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。 该团伙擅长利用各类Web服务器组件漏洞进行攻击，包括：Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法，攻击成功后，会在目标机器植入门罗币挖矿木马和远控木马。 腾讯安全系列产品应对BuleHero挖矿蠕虫的响应清单： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）BuleHero挖矿蠕虫相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）BuleHero挖矿蠕虫相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1.BuleHero挖矿蠕虫关联的IOCs已支持识别检测； 2.检测以下类型漏洞利用： Struts2漏洞利用 PHPWeb漏洞利用 Weblogic漏洞利用 Drupal漏洞利用 Tomcat漏洞利用 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1.支持查杀BuleHero挖矿蠕虫相关木马程序； 2.检测以下漏洞： Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1.已支持通过协议检测BuleHero挖矿蠕虫与服务器的网络通信； 2.检测以下漏洞利用： Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀BuleHero挖矿蠕虫入侵释放的木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞（CVE-2019-0193）攻击流量，该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。 2019年08月01日Apache官方发布Apache Solr远程代码执行漏洞（CVE-2019-0193）安全通告，Apache Solr DataImport功能在开启Debug模式时，可以接收来自请求的”dataConfig”参数，在dataConfig参数中可以包含script恶意脚本导致远程代码执行。官方通告如下：https://issues.apache.org/jira/browse/SOLR-13669 腾讯云防火墙对该漏洞利用及时进行阻断，客户服务器资产未遭受损失。 腾讯安全研究人员对Payload进行分析后，确认该攻击事件属于BuleHero挖矿蠕虫病毒，此次变种新增了SMBGhost（CVE-2020-0796）漏洞利用代码。 download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。 SesnorDateService.exe在Windows目录下创建文件 C:\Windows\<random>\EventisCache\divsfrsHost.exe，并释放SMBGhost漏洞攻击程序divsfrsHost.exe。 漏洞攻击代码采用开源程序 https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/exploit.py 生成，并利用Pyinstaller打包生成exe可执行程序。 此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击： Apache Struts2漏洞【CVE-2017-5638】 WebLogic 漏洞【CVE-2018-2628】 WebLogic 漏洞【CVE-2017-10271】 Thinkphp5漏洞【CNVD-2018-24942】 Tomcat漏洞【CVE-2017-12615】 Drupal漏洞【CVE-2018-7600】 通过内置的账号密码字典对MSSQL进行远程爆破攻击。 通过内置的账号密码字典对IPC$进行远程爆破攻击。 利用永恒之蓝漏洞攻击。 检测phpStudy后门。 释放XMRig挖矿木马挖矿门罗币。 释放远控木马Hentai.exe拷贝自身至系统system32目录下命名为随机名，并将文件设置为隐藏属性，然后安装为服务“Uvwxya”进行自启动。 木马启动后解密出PE文件并加载到内存执行。 尝试连接C2地址ai.0x1725.site。 释放的远控木马可根据服务端指令完成上传下载文件、执行任意程序、进程管理、窗口管理、服务管理、网络代理、远程shell、清除日志等功能。 IOCs Domain uer.reiykiq.ir gie.ezrutou.ir Ecc.0ieyFeD.ir Sub.0ieyFed.ir Js.0ieyFed.ir fky.6d6973616b61.cyou fky.6d6973616b61.icu fky.6d6973616b61.xyz fky.simimasai.fun fky.simimasai.online fky.simimasai.site fky.simimasai.space fky.simimasai.xyz oio.seeeeeeeeyou.su ai.0x1725.site MD5 download.exe 303d038621c2737f4438dbac5382d320 divsfrshost.exe daf42817f693d73985cd12c3052375e2 hentai.exe 386be8418171626f63adb52d763ca1c0 URL http[:]//uer.reiykiq.ir/AdPopBlocker.exe http[:]//UeR.ReiyKiQ.ir/download.exe http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe 参考链接： https://cloud.tencent.com/developer/article/1486905 https://issues.apache.org/jira/browse/SOLR-13669 https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html https://www.freebuf.com/articles/219973.html

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ   概述 或许你可能收到过类似的邮件：“你已经感染了我的私人木马，我知道你的所有密码和隐私信息（包括隐私视频），唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” 身边不少人收到过类似的勒索邮件，收到这些邮件，表示你的部分邮箱帐号密码泄露，对方或许有也或许没有你更多的隐私信息，如果你的网盘、网络相册不幸与邮箱使用相同的密码，那就真有可能一起泄露。腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件，该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。 攻击者首先通过VNC爆破弱口令尝试登录服务器，得手后先下载门罗币挖矿木马挖矿，木马会关闭Windows安全中心，添加开机启动项，会感染U盘或移动硬盘，劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路，该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码，再群发恐吓勒索邮件。 每攻克一台服务器，攻击者就验证2万个邮箱地址。截止目前，该病毒已经攻克了1691台服务器，已验证的邮箱帐号超过3300万个，包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列，最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件，邮件内容就是“我知道了你的密码或隐私信息，你必须在X日内向XXX帐号支付价值XXX美元的比特币，否则，就公开你的隐私信息。” 分析发现，病毒主模块编写者为“Burimi”，且具有内网传播能力（感染U盘和网络共享目录），腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前，腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。 详细分析： 木马启动后尝试用内置密码列表爆破VNC服务器  爆破成功后会在目标VNC服务器下载木马程序  木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe，从文件的pdb信息看作者为“Burimi”      入口处检测虚拟机以及调试器，环境不匹配就会退出。    禁用安全中心提示，减少被用户发现的概率。 拷贝自身到c:\windows[random]\win[random].exe并设置run启动项，启动项名Microsoft Windows Driver 感染U盘以及网络磁盘，写入antorun.inf 劫持剪切板钱包地址，劫持到黑客的钱包地址，目前支持BTC,XMR等 BTC已经劫持到0.14697873个 从以下域名中下载1.exe~8.exe 挖矿模块2.exe 2.exe启动后释放文件 C:\ProgramData[random]\cfg C:\ProgramData[random]\cfgi C:\ProgramData[random]\windrv32 C:\ProgramData[random]\r.vbs windrv32挖矿模块，cfg是挖矿相关配置，包括矿池和账号 r.vbs设置挖矿模块启动项 邮件勒索模块3.exe 首先访问获取任务ID（URL暂不公布），从本次监控到的ID已达1691个。   每个任务文件携带20000个邮箱账户&密码。 由此可见，入侵者掌握的邮箱帐户数量已超过3300万个，包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性，一旦验证成功，就会向该邮箱发送欺诈勒索邮件，声称知道受害用户的所有密码，并限时3天缴纳价值900美元的BTC，不然就把用户的所有隐私信息公布在网上。 黑客接收BTC的钱包地址：1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17，目前看已成功收到0.01BTC 安全建议 1、更换VNC连接密码为复杂密码，防止类似爆破攻击事件； 2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能，减少中毒可能； 3、推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。 4、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试（可能远超3300万），我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友，在收到勒索邮件之后，不必过度恐慌，不必支付比特币。注意更改邮箱帐号密码，启用双重验证，确保帐号安全。 也可以按以下步骤手工清理 删除文件 C:\ProgramData\FtqBnjJnmF[random]\cfg C:\ProgramData\FtqBnjJnmF[random]\cfgi C:\ProgramData\FtqBnjJnmF[random]\windrv32 C:\ProgramData\FtqBnjJnmF[random]\r.vbs c:\windows\48940040500568694\v.exe C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random] 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver IOCs 钱包 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk 24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR 4PGXzCGYQw7UemxRoRxCC97t7VaTr XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh 0x8b7f16faa3f835a0d3e7871a1359e45914d8c344 LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4g fuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca Domain soruuoooshfrohuo.su aoruuoooshfrohuo.su roruuoooshfrohuo.su toruuoooshfrohuo.su toruuoooshfrohuo.su uoruuoooshfrohuo.su foruuoooshfrohuo.su zeruuoooshfrohuo.su zzruuoooshfrohuo.su bbruuoooshfrohuo.su soruuoooshfrohoo.su aoruuoooshfrohoo.su roruuoooshfrohoo.su toruuoooshfrohoo.su toruuoooshfrohoo.su uoruuoooshfrohoo.su foruuoooshfrohoo.su zeruuoooshfrohoo.su zzruuoooshfrohoo.su bbruuoooshfrohoo.su soruuoooshfrohlo.su aoruuoooshfrohlo.su roruuoooshfrohlo.su toruuoooshfrohlo.su toruuoooshfrohlo.su uoruuoooshfrohlo.su foruuoooshfrohlo.su zeruuoooshfrohlo.su zzruuoooshfrohlo.su bbruuoooshfrohlo.su soruuoooshfrohfo.su aoruuoooshfrohfo.su roruuoooshfrohfo.su toruuoooshfrohfo.su toruuoooshfrohfo.su uoruuoooshfrohfo.su foruuoooshfrohfo.su zeruuoooshfrohfo.su zzruuoooshfrohfo.su bbruuoooshfrohfo.su ssofhoseuegsgrfnj.su unokaoeojoejfghr.ru osheoufhusheoghuesd.ru fafhoafouehfuh.su auoegfiaefuageudn.ru aiiaiafrzrueuedur.ru osuhughgufijfi.ru agnediuaeuidhegsf.su ouhfuosuoosrhfzr.su agnediuaeuidhegsf.su unokaoeojoejfghr.ru URL hxxp://thaus.to/1.exe hxxp://thaus.to/2.exe hxxp://thaus.to/3.exe hxxp://thaus.to/4.exe hxxp://thaus.to/5.exe hxxp://thaus.to/6.exe hxxp://thaus.to/7.exe hxxp://thaus.to/8.exe … IP 193.32.161.77 193.32.161.69 MD5 ef7ffba4b98df751763464f404d3010c f895a1875b3e112df7e4d548b28b9927 1d843f799da25d93d370969e126c32fa 3e26d2428d90c95531b3f2e700bf0e4c 33e45f80f9cbfd841242e8bb4488def1 另据最新情况，该病毒的两个服务器均已关闭，包括病毒下载服务器和勒索邮件发送任务服务器。也意味着，现有已感染的病毒仅剩下挖矿部分工作正常，发送勒索邮件的任务必须等待所有病毒更新，攻击者找到新的控制服务器，重新完成配置。