腾讯云防火墙成功阻断BuleHero挖矿蠕虫攻击,该变种具有8个漏洞利用和2个弱口令爆破能力
一、背景腾讯安全威胁情报中心研究人员在日常巡检中发现,有攻击者利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。
图1
进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。
该团伙擅长利用各类Web服务器组件漏洞进行攻击,包括:Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法,攻击成功后,会在目标机器植入门罗币挖矿木马和远控木马。
腾讯安全系列产品应对BuleHero挖矿蠕虫的响应清单:
| | |
| | |
| 1)BuleHero挖矿蠕虫相关信息和情报已支持检索。 |
| | 基于网络流量进行威胁检测与主动拦截,已支持: 1.BuleHero挖矿蠕虫关联的IOCs已支持识别检测; 2.检测以下类型漏洞利用: Struts2漏洞利用 PHPWeb漏洞利用 Weblogic漏洞利用 Drupal漏洞利用 Tomcat漏洞利用 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) | 1.支持查杀BuleHero挖矿蠕虫相关木马程序; 2.检测以下漏洞: Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 |
| 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 |
| | 1.已支持通过协议检测BuleHero挖矿蠕虫与服务器的网络通信; 2.检测以下漏洞利用: Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
| 1)可查杀BuleHero挖矿蠕虫入侵释放的木马程序; |
腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞(CVE-2019-0193)攻击流量,该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。
图2
腾讯云防火墙对该漏洞利用及时进行阻断,客户服务器资产未遭受损失。
图3
腾讯安全研究人员对Payload进行分析后,确认该攻击事件属于BuleHero挖矿蠕虫病毒,此次变种新增了SMBGhost(CVE-2020-0796)漏洞利用代码。
download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。
图4
SesnorDateService.exe在Windows目录下创建文件
C:\Windows\<random>\EventisCache\divsfrsHost.exe,并释放SMBGhost漏洞攻击程序divsfrsHost.exe。
图5
漏洞攻击代码采用开源程序
生成,并利用Pyinstaller打包生成exe可执行程序。
图6
此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击:
Apache Struts2漏洞【CVE-2017-5638】
WebLogic 漏洞【CVE-2018-2628】
WebLogic 漏洞【CVE-2017-10271】
Thinkphp5漏洞【CNVD-2018-24942】
Tomcat漏洞【CVE-2017-12615】
Drupal漏洞【CVE-2018-7600】
图7
通过内置的账号密码字典对MSSQL进行远程爆破攻击。
图8
通过内置的账号密码字典对IPC$进行远程爆破攻击。
图9
利用永恒之蓝漏洞攻击。
图10
检测phpStudy后门。
图11
释放XMRig挖矿木马挖矿门罗币。
图12
释放远控木马Hentai.exe拷贝自身至系统system32目录下命名为随机名,并将文件设置为隐藏属性,然后安装为服务“Uvwxya”进行自启动。
图13
木马启动后解密出PE文件并加载到内存执行。
图14
尝试连接C2地址ai.0x1725.site。
图15
释放的远控木马可根据服务端指令完成上传下载文件、执行任意程序、进程管理、窗口管理、服务管理、网络代{过}{滤}理、远程shell、清除日志等功能。
图16
IOCsDomain
uer.reiykiq.ir
gie.ezrutou.ir
Ecc.0ieyFeD.ir
Sub.0ieyFed.ir
Js.0ieyFed.ir
fky.6d6973616b61.cyou
fky.6d6973616b61.icu
fky.6d6973616b61.xyz
fky.simimasai.fun
fky.simimasai.online
fky.simimasai.site
fky.simimasai.space
fky.simimasai.xyz
oio.seeeeeeeeyou.su
ai.0x1725.site
MD5
download.exe
303d038621c2737f4438dbac5382d320
divsfrshost.exe
daf42817f693d73985cd12c3052375e2
hentai.exe
386be8418171626f63adb52d763ca1c0
URL
http[:]//uer.reiykiq.ir/AdPopBlocker.exe
http[:]//UeR.ReiyKiQ.ir/download.exe
http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe
参考链接:https://cloud.tencent.com/developer/article/1486905
https://issues.apache.org/jira/browse/SOLR-13669
https://www.freebuf.com/column/180544.html
https://www.freebuf.com/column/181604.html
https://www.freebuf.com/column/197762.html
https://www.freebuf.com/column/204343.html
发表于 2020-9-28 14:25:32
