• 摘要：

l  Sysrv-hello僵尸网络自去年12月被发现之后，更新十分频繁；

l  最初以爆破攻击为主漏洞攻击为辅，目前已转变为主要依赖漏洞攻击；

l  对新漏洞武器的采用速度较快；

l  其使用的恶意载荷托管地也频繁改变；

l  目前版本的最终载荷为门罗币挖矿木马[kthreaddi]；

l  其拥有的漏洞攻击武器使其具备很强的蠕虫病毒扩散能力：

1) Hadoop未授权漏洞利用；

2) XXLjob未授权漏洞利用；

3) Thinkphp 命令执行漏洞；

4) Supervisord 命令执行漏洞（CVE-2017-11610）；

5) Joomla 反序列化漏洞（CVE-2015-8562）；

6) Phpunit 远程代码执行漏洞（CVE-2017-9841）；

7) Apache Unomi远程代码执行漏洞 (CVE-2020-13942)；

8) SaltStack 命令注入漏洞（CVE-2020-16846）；

9) Mongo-express 远程代码执行漏洞（CVE-2019-10758）；

10) Drupal 远程代码执行漏洞（CVE-2018-7600）；

11) Jenkins远程命令执行漏洞（CVE-2018-1000861）；

12) Jboss反序列化漏洞（CVE-2017-12149）；

13) Confluence远程代码执行漏洞（CVE-2019-3396）；

14) Laravel远程代码执行漏洞（CVE-2021-3129）

一、概述

腾讯安全威胁情报中心检测到，Sysrv-hello僵尸网络近期更新频率极高。从当前捕获到的病毒版本来看，该僵尸网络蠕虫模块攻击方式由之前以爆破攻击为主、漏洞利用为辅转变为：更加依赖漏洞攻击。

其新变种在极短时间内向蠕虫传播模块集成了14种新漏洞攻击方式，而这次发现离腾讯安全本月初报告该团伙增加5种漏洞攻击方式仅仅过去一周多。Sysrv-hello僵尸网络最早被安全厂商关注到的时间为2020年12月，该团伙对新漏洞武器的采用速度较快，已是目前技术更新最为频繁的僵尸网络之一，被其攻陷的主机系统有数万台之多。我们预见该团伙未来一段时间仍会高频更新其病毒版本和漏洞攻击工具。

Sysrv-hello僵尸网络发起的攻击数量近期呈明显上升趋势。

由于该僵尸网络具备很强的蠕虫病毒扩散特性，其利用的漏洞武器攻击面覆盖多数企业常用的互联网服务组件，最终载荷危害Linux、Windows双系统。腾讯安全提醒企业安全运维人员提高警惕，利用企业已部署的安全防护系统积极排查、修补业务系统漏洞，以免遭遇Sysrv-hello僵尸网络的攻击。

腾讯安全全系列产品已支持对Sysrv-hello僵尸网络各个环节的攻击传播活动进行检测防御。

·排查&加固

腾讯安全专家建议安全运维人员排查以下条目，以判断系统是否受到损害。

文件：

/tmp/sysrv*

/tmp/随机目录/[kthreaddi]

进程：

sysrv*

*kthreaddi*

network*

定时任务：

下拉执行(hxxp://*.*.*.*/ldr.sh)的风险crontab项

加固：

排查自身对外开放的网络服务组件，对存在的安全漏洞及时修复。

1.Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。

2.开启 XXL-JOB 自带鉴权组件，消除XXL-JOB未授权命令执行漏洞风险。

3.将Thinkphp 、Supervisord 、Joomla 等受影响的组件升级到安全版本。

·腾讯安全响应清单

腾讯安全系列产品针对Sysrv-hello僵尸网络的响应清单如下：

二、分析

Sysrv-hello僵尸网络近期更新十分频繁，新版本入侵成功后植入的脚本也不同以往，运行后首先会结束老版本运行中的模块，并将当前自身写入计划任务启动项，随后执行蠕虫、挖矿等相关模块。

分析当前活跃版本可知，Sysrv-hello僵尸网络以往的老版本病毒攻击方式多以爆破攻击为主漏洞攻击为辅。而新版病毒攻击方式更偏向于直接利用漏洞攻击开放的web服务。观察其近期更新情况，已在短时间内新增14种网络组件的漏洞攻击能力，包括：

1.Hadoop未授权漏洞利用；

2.XXLjob未授权漏洞利用；

3.Thinkphp 命令执行漏洞；

4.Supervisord 命令执行漏洞（CVE-2017-11610）；

5.Joomla 反序列化漏洞（CVE-2015-8562）；

6.Phpunit 远程代码执行漏洞（CVE-2017-9841）；

7.Apache Unomi远程代码执行漏洞 (CVE-2020-13942)；

8.SaltStack 命令注入漏洞（CVE-2020-16846）；

9.Mongo-express 远程代码执行漏洞（CVE-2019-10758）；

10.Drupal 远程代码执行漏洞（CVE-2018-7600）；

11.Jenkins远程命令执行漏洞（CVE-2018-1000861）；

12.Jboss反序列化漏洞（CVE-2017-12149）；

13.Confluence远程代码执行漏洞（CVE-2019-3396）；

14.Laravel远程代码执行漏洞（CVE-2021-3129）

Sysrv-hello僵尸网络使用的扫描探测端口也从9个增加到12个。

以下为部分漏洞攻击过程使用到的相关payload：

Supervisord 命令执行漏洞（CVE-2017-11610）

Mongo-express 远程代码执行漏洞（CVE-2019-10758）

ThinkPHP 命令执行漏洞

XXLjob未授权漏洞利用payload相关内容

Jenkins远程命令执行漏洞（CVE-2018-1000861）利用payload相关内容

Drupal 远程代码执行漏洞（CVE-2018-7600）利用payload相关内容

Phpunit 远程代码执行漏洞（CVE-2017-9841）利用payload相关内容

Apache Unomi远程代码执行漏洞 (CVE-2020-13942)利用payload相关内容

Laravel远程代码执行漏洞（CVE-2021-3129）利用payload相关内容

同时，分析发现，Sysrv-hello僵尸网络以往版本所使用的网络基础设施基本比较固定，而

该团伙使用的恶意载荷托管地也频繁改变，其近期使用的活跃资产主要包括以下ip和域名：

194.40.243.98

45.145.185.85

31.42.177.123

31.210.20.120

185.239.242.71

185.239.242.70

finalshell.nl

Sysrv-hello僵尸网络的最终载荷依然为挖矿木马，payload运行后释放出[kthreaddi]模块进行门罗币挖矿。云主机被入侵感染Sysrv-hello僵尸网络病毒后，其蠕虫扩散模块和矿机模块会占用大量CPU资源，会对云主机的正常业务运行产生严重影响。

三、威胁视角看攻击行为

Sysrv-hello僵尸网络相关的威胁数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等安全产品检测防御相关威胁。

腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。腾讯主机安全（云镜）已支持对Sysrv-hello僵尸网络所利用的十多种服务器组件漏洞进行检测。

腾讯云防火墙已支持对Sysrv-hello僵尸网络利用的十多种漏洞攻击进行检测拦截，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Mongo-express 远程代码执行漏洞（CVE-2019-10758）进行攻击利用。

私有云用户可通过旁路部署腾讯高级威胁检测系统（御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（御界）已支持对Sysrv-hello僵尸网络利用的十多种漏洞攻击进行检测。下图为腾讯御界检测到利用Mongo-express 远程代码执行漏洞（CVE-2019-10758）发起的恶意攻击活动。

Sysrv-hello僵尸网络具备跨平台攻击能力，同样危害Windows系统。企业私有云可以在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统（iOA），iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证用户身份、设备及应用安全状态确定是否允许用户访问企业业务，确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备，都可安全访问企业资源和数据。

· IOCs

MD5

ae8a20aa2ea6e32cc6d8693f64794a49

4ad7b05d65b40a568d20241d0bc5f729

c98696f4668d08fe07138b814be3dac5

P

194.40.243.98

45.145.185.85

31.42.177.123

31.210.20.120

185.239.242.71

185.239.242.70

DOMAIN

finalshell.nl

URL

hxxp://31.210.20.120/ldr.sh

hxxp://31.210.20.120/sysrvv

参考链接：

1. Sysrv-hello僵尸网络集木马、后门、蠕虫于一身，攻击Linux、Windows主机挖矿

https://mp.weixin.qq.com/s/iNqBcLKwhVUSz5ltLN_ubw

2. Sysrv-hello僵尸网络最新版新增5种攻击能力

https://mp.weixin.qq.com/s/p7s6aqxyznfZUQOnJavXsA

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)