一、概述

腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿：利用weblogic反序列化漏洞（CVE-2017-10271）对云主机发起攻击，攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马，进行门罗币挖矿操作。

RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件，并尝试结束其他占系统资源较高的进程，以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能，干扰政企机构正常业务运行。

提取云防火墙流量日志，可复现漏洞攻击利用成功后，系统被植入XMR挖矿木马（tcpp矿机）

RunMiner挖矿木马团伙是非常活跃的黑产组织，该组织擅长利用各种漏洞武器入侵存在漏洞的系统，植入木马，控制远程主机挖矿。2020年12月，腾讯安全曾捕获该组织利用Apache Shiro反序列化漏洞（CVE-2016-4437）攻击控制约1.6万台主机挖矿（https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ）。

排查加固：

腾讯安全专案建议weblogic组件存在漏洞，可能遭受漏洞影响的用户对以下条目进行排查，及时检查、清除是否已被植入挖矿木马。

文件：

Linux:

/tmp/tcpp

Windows:

%USERPROFILE%\Documents\debug\debug.exe

%USERPROFILE%\Documents\debug.bat

进程：

Linux:

tcpp

Windows:

Debug.exe

定时任务：

Linux:

/var/spool/cron/`whoami`

Windows:

%systemroot%\System32\Tasks\SystemProcessDebug

%systemroot%\Tasks\SystemProcessDebug

加固：

腾讯安全专家建议受影响的用户尽快升级Weblogic组件到最新版本，腾讯安全全系列产品支持在各个环节检测、防御RunMiner挖矿木马对云上主机的攻击。

详细响应清单如下：

二、样本分析

攻击者通过扫描外网开放weblogic服务的机器，尝试使用weblogic反序列化漏洞（CVE-2017-10271）进行攻击，未修补漏洞的主机被攻击后会进一步执行hxxp://146.196.83.217:29324/xxgic/run.sh内的恶意脚本，run模块内代码执行后，会尝试结束AliYunDun相关进程，进一步拉取task.sh执行，同时将task模块恶意代码写入定时任务。