本帖最后由 腾讯电脑管家 于 2019-7-5 20:49 编辑
一、背景挖矿蠕虫病毒BuleHero最早由腾讯安全御见威胁情报中心于2018年8月发现,该病毒擅长利用各类漏洞攻击、弱密码爆破攻击。病毒作者不断更新变种,是近期最活跃的挖矿蠕虫病毒之一。通过对该病毒进行了持续跟踪,腾讯安全御见威胁情报中心披露了该病毒的多个历史变种版本,并于7月2日再次检测到新的变种。
最新的BuleHero挖矿蠕虫新增4899端口爆破,增加了NSA武器,使该病毒在内网横向传播的能力得以加强,BuleHero挖矿蠕虫还会向目标电脑释放Gh0st修改版远控木马。
事实上,一旦攻击者爆破4899端口成功,就已经获得了服务器的完全控制权,入侵者再安装一个新的远控木马,可以实现远程控制双保险的目的:一旦被系统管理员发现清除,入侵者还有另一个远控手段可用。攻击者入侵后,还会释放门罗币挖矿程序,使服务器的资源被消耗挖矿,正常业务的运行会受到极大影响。
腾讯安全御见威胁情报中心监测到的BuleHero发展时间线: 总结一下BuleHero挖矿蠕虫病毒的攻击方式,包括Windows系统漏洞、服务器组件漏洞和密码爆破攻击三大类:
Windows系统漏洞: “永恒之蓝”、“永恒浪漫”、“永恒冠军”(MS17-010) Lnk漏洞(CVE-2017-8464)(弃用)
服务器组件漏洞: Apache Struts2远程代码执行漏洞(CVE-2017-5638) WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271) Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615) Thinkphp V5漏洞(CNVD-2018-24942) WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)(伪利用)
爆破攻击: SQL Server 1433端口爆破(弃用) IPC$远程连接爆破 4899端口爆破(新增) BuleHero蠕虫病毒的漏洞利用列表(橙色为新增,灰色为已放弃)
二、详细分析漏洞攻击后植入download.exe,该木马进行一步下载母体病毒upnpprhost.exe (http[:]//fid.hognoob.se/upnpprhost.exe) 该母体病毒的历史文件名为: wercplshost.exe SunloglicySrv.exe SecloginSvc.exe HidregSvc.exe Wdisetection.exe upnpprhost.exe upnpprhost.exe释放扫描模块、漏洞攻击模块、端口爆破模块对其他机器进行攻击,同时释放XMRig挖矿程序挖矿门罗币。
木马从从服务器获取配置文件cfg.ini,以更新保持最新版本。 http[:]//uio.hognoob.se:63145/cfg.ini http[:]//uio.heroherohero.info:63145/cfg.ini
配置文件中包含以下信息: 升级节点1:upa1.hognoob.se 升级节点2:upa2.hognoob.se
母体病毒更新信息 版本:20190702 文件名:upnpprhost 文件大小:5427200
Download木马下载地址 http[:]//fid.hognoob.se/download.exe
矿池地址 pxi.hognoob.se:35791 pxx.hognoob.se:35789
上线地址 ReportUrl=185.164.72.143 ReportPort=57123
2.1 Mimikatz模块释放mimikatz工具,抓取域用户登录密码 2.2 扫描模块释放扫描模块,针对指定IP段进行扫描,保存易受攻击的IP地址到Result.txt中,供后续攻击使用
2.3 新增4899端口爆破释放4899端口爆破工具Lamescan 3到windows目录下,传入usernamelist、passwordlist进行爆破攻击。4899端口是远程控制软件Remote Administrator服务端默认监听的端口,黑客通过扫描网络上存在(remote administrator)服务端监听端口使用空口令或弱口令的主机,爆破成功就可以获得远程电脑的完全控制权。
爆破时使用的用户名、密码字典分为内置和服务器下载两种方式,服务器上字典下载地址为: http[:]//uio.hognoob.se:63145/uDic.txt http[:]//uio.hognoob.se:63145/pDic.txt 目前该地址上保存字典有超过150个用户名,超过1000个密码,而且可以不断更新
2.4 增强NSA武器原来的版本仅使用了NSA武器中的永恒之蓝、双脉冲星,最新版本新增利用永恒浪漫、永恒冠军进行攻击,新变种加入了漏洞检测工具Smbtouch来检测易受攻击的对象,使得漏洞攻击的威力大增。
漏洞攻击成功后执行Payload(AppCapture32.dll、AppCapture64.dll),在中招机器下载download.exe继续下载漏洞攻击模块对其他机器进行攻击、以及植入挖矿木马、远控木马。
2.5 挖矿释放挖矿木马到C:\windows\temp目录下
矿机程序采用XMRig 2.14.1编译
连接矿池80.82.70.188:35791进行挖矿
2.6 Gh0st修改版远控木马母体释放经Gh0st修改而成的远控木马到系统目录,并将其安装为随机名服务进行启动
连接C2地址haq.hognoob.se接受服务端远程控制
三、安全建议
2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞
3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,部分Weblogic漏洞修复建议如下: CVE-2017-10271修复补丁地址: https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html CVE-2019-2725补丁包下载地址如下: https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline
4.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解。针对Remote Administrator软件服务端排查pDic表单中的弱口令 http[:]//uio.hognoob.se:63145/pDic.txt
IOCsIP 172.105.237.113 185.164.72.143 139.162.13.92
C&C 185.164.72.143: 57123
Domain a45.bulehero.in a46.bulehero.in a88.bulehero.in upa1.hognoob.se upa2.hognoob.se fid.hognoob.se uio.hognoob.se haq.hognoob.se q1a.hognoob.se uio.heroherohero.info a88.heroherohero.info
Md5 ccf5b663061e7e2755f8eed37e49b732 a354d2967229f4889d2e6fef7d53ef84 dfd58f4975c425428a039104fcaf2f39 c477a7ba1d489ed8ec4aa6508331aae0 95cd01437e89145d14a5e7fcfda57e56 2b4ac7b362261cb3f6f9583751708064
URL http[:]//fid.hognoob.se/download.exe http[:]//fid.hognoob.se/upnpprhost.exe http[:]//uio.hognoob.se:63145/cfg.ini http[:]//uio.heroherohero.info:63145/cfg.ini http[:]//uio.hognoob.se:63145/uDic.txt http[:]//uio.hognoob.se:63145/pDic.txt
矿池: pxi.hognoob.se:35791 pxx.hognoob.se:35789
文件名: wercplshost.exe SunloglicySrv.exe SecloginSvc.exe HidregSvc.exe Wdisetection.exe upnpprhost.exe
参考链接: https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html
| 
发表于 2019-7-5 20:49:27
