BuleHero 挖矿蠕虫变种，具有 8 个漏洞利用和 2 个弱口令爆破能力-安全小百科

感谢腾讯御见威胁情报中心来稿！

原文链接：https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg

攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。

一、背景

腾讯安全威胁情报中心研究人员在日常巡检中发现，有攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。

进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。

该团伙擅长利用各类Web服务器组件漏洞进行攻击，包括：Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法，攻击成功后，会在目标机器植入门罗币挖矿木马和远控木马。

腾讯安全系列产品应对BuleHero挖矿蠕虫的响应清单：

应用

场景

安全产品

解决方案

威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）BuleHero挖矿蠕虫相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）BuleHero挖矿蠕虫相关信息和情报已支持检索。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于网络流量进行威胁检测与主动拦截，已支持：

1.BuleHero挖矿蠕虫关联的IOCs已支持识别检测；

2.检测以下类型漏洞利用：

Struts2漏洞利用

PHPWeb漏洞利用

Weblogic漏洞利用

Drupal漏洞利用

Tomcat漏洞利用

永恒之蓝漏洞MS17-010

SMBGh0st漏洞CVE-2020-0796

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 主机安全

（Cloud Workload Protection，CWP）

1.支持查杀BuleHero挖矿蠕虫相关木马程序；

2.检测以下漏洞：

Apache Struts2漏洞CVE-2017-5638

WebLogic 漏洞CVE-2018-2628

WebLogic 漏洞CVE-2017-10271

Thinkphp5漏洞CNVD-2018-24942

Tomcat漏洞CVE-2017-12615

Drupal漏洞CVE-2018-7600

永恒之蓝漏洞MS17-010

SMBGh0st漏洞CVE-2020-0796

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御界）

1.已支持通过协议检测BuleHero挖矿蠕虫与服务器的网络通信；

2.检测以下漏洞利用：

Apache Struts2漏洞CVE-2017-5638

WebLogic 漏洞CVE-2018-2628

WebLogic 漏洞CVE-2017-10271

Thinkphp5漏洞CNVD-2018-24942

Tomcat漏洞CVE-2017-12615

Drupal漏洞CVE-2018-7600

永恒之蓝漏洞MS17-010

SMBGh0st漏洞CVE-2020-0796

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统（御点）

1）可查杀BuleHero挖矿蠕虫入侵释放的木马程序；

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

二、详细分析

腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞（CVE-2019-0193）攻击流量，该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。

2019年08月01日Apache官方发布Apache Solr远程代码执行漏洞（CVE-2019-0193）安全通告，Apache Solr DataImport功能在开启Debug模式时，可以接收来自请求的”dataConfig”参数，在dataConfig参数中可以包含script恶意脚本导致远程代码执行。官方通告如下：https://issues.apache.org/jira/browse/SOLR-13669

腾讯云防火墙对该漏洞利用及时进行阻断，客户服务器资产未遭受损失。

腾讯安全研究人员对Payload进行分析后，确认该攻击事件属于BuleHero挖矿蠕虫病毒，此次变种新增了SMBGhost（CVE-2020-0796）漏洞利用代码。

download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。

SesnorDateService.exe在Windows目录下创建文件

C:/Windows/<random>/EventisCache/divsfrsHost.exe，并释放SMBGhost漏洞攻击程序divsfrsHost.exe。

漏洞攻击代码采用开源程序

https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/exploit.py

生成，并利用Pyinstaller打包生成exe可执行程序。

此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击：

Apache Struts2漏洞【CVE-2017-5638】
WebLogic 漏洞【CVE-2018-2628】
WebLogic 漏洞【CVE-2017-10271】
Thinkphp5漏洞【CNVD-2018-24942】
Tomcat漏洞【CVE-2017-12615】
Drupal漏洞【CVE-2018-7600】

通过内置的账号密码字典对MSSQL进行远程爆破攻击。

通过内置的账号密码字典对IPC$进行远程爆破攻击。

利用永恒之蓝漏洞攻击。

检测phpStudy后门。

释放XMRig挖矿木马挖矿门罗币。

释放远控木马Hentai.exe拷贝自身至系统system32目录下命名为随机名，并将文件设置为隐藏属性，然后安装为服务“Uvwxya”进行自启动。

木马启动后解密出PE文件并加载到内存执行。

尝试连接C2地址ai.0x1725.site。

释放的远控木马可根据服务端指令完成上传下载文件、执行任意程序、进程管理、窗口管理、服务管理、网络代理、远程shell、清除日志等功能。