一、背景 近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播,然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。 在感染的机器上,SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载,会通过多种特征检测其他挖矿木马并进行清除,然后下载门罗币挖矿木马sysupdata并启动。为保证挖矿程序在系统长久驻留,该木马会下载守护模块sysguerd,实时检测挖矿进程是否存活,发现失活则重新启动,若挖矿程序文件不存在,会重新下载运行。 SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件,可进行跨平台攻击,其使用的漏洞攻击模块networkservics会针对全网段IP的Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。 SysupdataMiner挖矿木马的攻击流程
二、样本分析
1.核心脚本Updata.shSysupdataMiner在感染机器执行shell脚本init.sh,后续攻击过程中会通过定时任务反复下载执行updata.sh。updata.sh目前与init.sh相同,是攻击过程中的主要脚本,负责下载启动挖矿模块、漏洞攻击模块、进程守护模块,以及利用Pnscan和Masscan扫描Redis服务并进行弱口令爆破攻击。 updata.sh检查进程中是否存在载阿里云骑士和腾讯云镜,如存在则下载对应卸载程序进行卸载。
通过匹配预先搜集的矿池地址、端口、进程路径、文件名、钱包地址的方式,检测其他挖矿进程并清除。
安装Crontab定时任务每30分钟执行一次脚本updata.sh
配置/root/.ssh/authorized_keys使得当前Linux机器可以免密登陆SSH
挖矿模块sysupdata核心脚本updata.sh下载门罗币挖矿木马sysupdata,该木马由开源挖矿程序XMRig编译,并通过添加UPX壳进行保护。 挖矿时使用矿池: xmr.f2pool.com:13531 randomxmonero.hk.nicehash.com:3380 钱包: 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr
其中第一个钱包已挖矿获得门罗币90个,当前市价折合人民币42000余元。
脚本继续下载启动守护模块sysguerd,该模块负责实时检测挖矿进程是否存活,发现进程不存在则重新下载攻击脚本执行,重启挖矿和攻击进程。
攻击模块networkservics核心脚本下载启动扫描攻击模块networkservics,针对Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。
待扫描的IP列表为http[:]//178.157.91.26/ec8ce6ab/ips_cn.txt,覆盖1.0.1.0~223.255.253.255全网段的IP地址
针对存在漏洞的目标机器,使用对应组件的远程代码执行漏洞进行攻击。
updata.sh本身还会利用本机登录使用SSH其他Linux系统产生的记录/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub重新登录目标系统,并在登录后执行脚本is.sh进行感染。
is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并尝试使用以下弱口令进行爆破登录: redis
root
oracle
password
p@aaw0rd
abc123
abc123!
123456
admin
三、跨平台攻击对木马服务器178.157.91.26上存放的文件进行分析,可以发现SysupdataMiner会针对Windows系统与Linux系统执行相似流程的攻击,只是将Linux系统的Shell脚本替换为了相应的Powershell脚本,可执行样本文件由ELF文件替换为PE文件,持久化攻击时由安装crontab定时任务变为安装SchTasks.exe计划任务。
四、安全建议腾讯安全专家建议企业网络管理员参考以下指引加固服务器: 1. 为Redis添加强密码验证,切勿使用弱口令; 2. SSH非交互方式登录到远程服务器时,设置主机公钥确认StrictHostKeyChecking的值为ask或yes,避免历史SSH登录记录被病毒利用,形成内网扩散; 3. 定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复; 4. 推荐使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受安全漏洞影响。 腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。
企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)。
5. 推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。
IOCsIP 178.157.91.26 45.137.151.106 146.71.79.230 域名 us.gsearch.com.de Md5 e3d0432180db8c901874b518b28e0ec2 291dd7d9a2062d07976b14f7d9683d35 0813a0630f866571310be9ba3e42a9c5 8a80faa8369404d362104eff0720bf62 2b816fd2ff992e07f3f9fb3f27787c8a 0784af35182af63691d420a2af9d2b09 c74e02044b96d157d214e9871a09531a da518ae458f4651f350094bc871b12c8 435f4fcc9f058edeb8be5428a83172b0 36ba07d8ce707c063b334bbd674650d2 URL http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.ps1 http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.sh http[:]//178.157.91.26/ec8ce6ab/is.sh http[:]//178.157.91.26/ec8ce6ab/rs.sh http[:]//178.157.91.26/ec8ce6ab/sysupdata http[:]//178.157.91.26/ec8ce6ab/networkservics http[:]//178.157.91.26/ec8ce6ab/updata.sh http[:]//178.157.91.26/ec8ce6ab/sysguerd http[:]//178.157.91.26/ec8ce6ab/sysupdata.exe http[:]//178.157.91.26/ec8ce6ab/networkservics.exe http[:]//178.157.91.26/ec8ce6ab/updata.ps1 http[:]//178.157.91.26/ec8ce6ab/sysguerd.exe http[:]//178.157.91.26/ec8ce6ab/clean.bat http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysguard.exe http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysupdate.exe http[:]//us.gsearch.com.de/api/sysupdate.exe http[:]//us.gsearch.com.de/api/networkservice.exe 矿池: xmr.f2pool.com:13531 randomxmonero.hk.nicehash.com:3380 钱包: 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr
|