-
-
[原创]警惕跨平台挖矿木马SysupdataMiner利用多个漏洞攻击传播
-
发表于: 2020-3-7 13:01 4120
-
一、背景
近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播,然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。
在感染的机器上,SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载,会通过多种特征检测其他挖矿木马并进行清除,然后下载门罗币挖矿木马sysupdata并启动。为保证挖矿程序在系统长久驻留,该木马会下载守护模块sysguerd,实时检测挖矿进程是否存活,发现失活则重新启动,若挖矿程序文件不存在,会重新下载运行。
SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件,可进行跨平台攻击,其使用的漏洞攻击模块networkservics会针对全网段IP的Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。
SysupdataMiner挖矿木马的攻击流程
二、样本分析
1.核心脚本Updata.sh
SysupdataMiner在感染机器执行shell脚本init.sh,后续攻击过程中会通过定时任务反复下载执行updata.sh。updata.sh目前与init.sh相同,是攻击过程中的主要脚本,负责下载启动挖矿模块、漏洞攻击模块、进程守护模块,以及利用Pnscan和Masscan扫描Redis服务并进行弱口令爆破攻击。
updata.sh检查进程中是否存在载阿里云骑士和腾讯云镜,如存在则下载对应卸载程序进行卸载。
通过匹配预先搜集的矿池地址、端口、进程路径、文件名、钱包地址的方式,检测其他挖矿进程并清除。
安装Crontab定时任务每30分钟执行一次脚本updata.sh
配置/root/.ssh/authorized_keys使得当前Linux机器可以免密登陆SSH
挖矿模块sysupdata
核心脚本updata.sh下载门罗币挖矿木马sysupdata,该木马由开源挖矿程序XMRig编译,并通过添加UPX壳进行保护。
挖矿时使用矿池:
xmr.f2pool.com:13531
randomxmonero.hk.nicehash.com:3380
钱包:
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR
3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr
其中第一个钱包已挖矿获得门罗币90个,当前市价折合人民币42000余元。
脚本继续下载启动守护模块sysguerd,该模块负责实时检测挖矿进程是否存活,发现进程不存在则重新下载攻击脚本执行,重启挖矿和攻击进程。
攻击模块networkservics
核心脚本下载启动扫描攻击模块networkservics,针对Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。
待扫描的IP列表为http[:]//178.157.91.26/ec8ce6ab/ips_cn.txt,覆盖1.0.1.0~223.255.253.255全网段的IP地址
针对存在漏洞的目标机器,使用对应组件的远程代码执行漏洞进行攻击。
updata.sh本身还会利用本机登录使用SSH其他Linux系统产生的记录/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub重新登录目标系统,并在登录后执行脚本is.sh进行感染。
is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并尝试使用以下弱口令进行爆破登录:
redis
root
oracle
password
p@aaw0rd
abc123
abc123!
123456
admin
三、跨平台攻击
对木马服务器178.157.91.26上存放的文件进行分析,可以发现SysupdataMiner会针对Windows系统与Linux系统执行相似流程的攻击,只是将Linux系统的Shell脚本替换为了相应的Powershell脚本,可执行样本文件由ELF文件替换为PE文件,持久化攻击时由安装crontab定时任务变为安装SchTasks.exe计划任务。
四、安全建议
腾讯安全专家建议企业网络管理员参考以下指引加固服务器:
1. 为Redis添加强密码验证,切勿使用弱口令;
2. SSH非交互方式登录到远程服务器时,设置主机公钥确认StrictHostKeyChecking的值为ask或yes,避免历史SSH登录记录被病毒利用,形成内网扩散;
3. 定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;
4. 推荐使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受安全漏洞影响。
腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。
企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)。
5. 推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。
腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta
IOCs
IP
178.157.91.26
45.137.151.106
146.71.79.230
域名
us.gsearch.com.de
Md5
e3d0432180db8c901874b518b28e0ec2
291dd7d9a2062d07976b14f7d9683d35
0813a0630f866571310be9ba3e42a9c5
8a80faa8369404d362104eff0720bf62
2b816fd2ff992e07f3f9fb3f27787c8a
0784af35182af63691d420a2af9d2b09
c74e02044b96d157d214e9871a09531a
da518ae458f4651f350094bc871b12c8
435f4fcc9f058edeb8be5428a83172b0
36ba07d8ce707c063b334bbd674650d2
URL
http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.ps1
http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.sh
http[:]//178.157.91.26/ec8ce6ab/is.sh
http[:]//178.157.91.26/ec8ce6ab/rs.sh
http[:]//178.157.91.26/ec8ce6ab/sysupdata
http[:]//178.157.91.26/ec8ce6ab/networkservics
http[:]//178.157.91.26/ec8ce6ab/updata.sh
http[:]//178.157.91.26/ec8ce6ab/sysguerd
http[:]//178.157.91.26/ec8ce6ab/sysupdata.exe
http[:]//178.157.91.26/ec8ce6ab/networkservics.exe
http[:]//178.157.91.26/ec8ce6ab/updata.ps1
http[:]//178.157.91.26/ec8ce6ab/sysguerd.exe
http[:]//178.157.91.26/ec8ce6ab/clean.bat
http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysguard.exe
http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysupdate.exe
http[:]//us.gsearch.com.de/api/sysupdate.exe
http[:]//us.gsearch.com.de/api/networkservice.exe
矿池:
xmr.f2pool.com:13531
randomxmonero.hk.nicehash.com:3380
钱包:
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR
3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课