查看: 10989|回复: 0
收起左侧

[技术原创] 黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿

[复制链接]
腾讯电脑管家
发表于 2020-1-15 10:43:07 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2020-1-15 10:44 编辑

一、概述
腾讯安全御见威胁情报中心监测到团伙利用Apache Struts 2远程命令执行漏洞(CVE-2017-5638)攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。

二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块:
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:

3389爆破工具NLBrute 1.2

S扫描器

Apache Struts2远程命令执行漏洞(CVE-2017-5638)利用


对服务器入侵成功后,则下发挖矿挖矿模块2020.exe

矿池:xmr.f2pool.com:13531
钱包:448aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR,市值约35886人民币

端口转发工具ok.exe
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节

Ramnit C2: 82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉Ramnit感染代码后,实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病毒。Ramnit蠕虫病毒是影响 Windows 系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。 主要感染.exe、.dll、.htm 和 .html 扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。

三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。


四、安全建议
1、 建议修改远程桌面默认端口,或限制允许访问的IP;
2、 升级Apache Struts 2至最新版,受影响版本Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10;
3、 修改sqlserver密码,不要使用弱密码;
4、 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。腾讯御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。


IOCs
矿池:
xmr.f2pool.com:13531

钱包:448aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URL
hxxp://183.63.127.227:808/
MD5
fabd73f8bf2bc803703778457c068936
81c965ac62471ab62e85ca441d0031e6

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 13:53 , Processed in 0.203469 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表