挖矿木马SysupdataMiner利用多个漏洞同时攻击Windows、Linux

论坛 期权论坛 期权     
腾讯御见威胁情报中心   2020-3-28 03:02   1749   0


长按二维码关注

御见威胁情报中心



一、背景

近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播,然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。

在感染的机器上,SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载,会通过多种特征检测其他挖矿木马并进行清除,然后下载门罗币挖矿木马sysupdata并启动。为保证挖矿程序在系统长久驻留,该木马会下载守护模块sysguerd,实时检测挖矿进程是否存活,发现失活则重新启动,若挖矿程序文件不存在,会重新下载运行。

SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件,可进行跨平台攻击,其使用的漏洞攻击模块networkservics会针对全网段IP的Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。



SysupdataMiner挖矿木马的攻击流程





二、样本分析

1.核心脚本Updata.sh
SysupdataMiner在感染机器执行shell脚本init.sh,后续攻击过程中会通过定时任务反复下载执行updata.sh。updata.sh目前与init.sh相同,是攻击过程中的主要脚本,负责下载启动挖矿模块、漏洞攻击模块、进程守护模块,以及利用Pnscan和Masscan扫描Redis服务并进行弱口令爆破攻击。

updata.sh检查进程中是否存在载阿里云骑士和腾讯云镜,如存在则下载对应卸载程序进行卸载。




通过匹配预先搜集的矿池地址、端口、进程路径、文件名、钱包地址的方式,检测其他挖矿进程并清除。




安装Crontab定时任务每30分钟执行一次脚本updata.sh




配置/root/.ssh/authorized_keys使得当前Linux机器可以免密登陆SSH




挖矿模块sysupdata


核心脚本updata.sh下载门罗币挖矿木马sysupdata,该木马由开源挖矿程序XMRig编译,并通过添加UPX壳进行保护。




挖矿时使用矿池:
xmr.f2pool.com:13531
randomxmonero.hk.nicehash.com:3380

钱包:
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr




其中第一个钱包已挖矿获得门罗币90个,当前市价折合人民币42000余元。




脚本继续下载启动守护模块sysguerd,该模块负责实时检测挖矿进程是否存活,发现进程不存在则重新下载攻击脚本执行,重启挖矿和攻击进程。








攻击模块networkservics


核心脚本下载启动扫描攻击模块networkservics,针对Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。




待扫描的IP列表为http[:]//178.157.91.26/ec8ce6ab/ips_cn.txt,覆盖1.0.1.0~223.255.253.255全网段的IP地址




针对存在漏洞的目标机器,使用对应组件的远程代码执行漏洞进行攻击。




updata.sh本身还会利用本机登录使用SSH其他Linux系统产生的记录/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub重新登录目标系统,并在登录后执行脚本is.sh进行感染。




is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并尝试使用以下弱口令进行爆破登录:
redis
root
oracle
password
p@aaw0rd
abc123
abc123!
123456
admin






三、跨平台攻击

对木马服务器178.157.91.26上存放的文件进行分析,可以发现SysupdataMiner会针对Windows系统与Linux系统执行相似流程的攻击,只是将Linux系统的Shell脚本替换为了相应的Powershell脚本,可执行样本文件由ELF文件替换为PE文件,持久化攻击时由安装crontab定时任务变为安装SchTasks.exe计划任务。







四、安全建议

腾讯安全专家建议企业网络管理员参考以下指引加固服务器:

1.为Redis添加强密码验证,切勿使用弱口令;

2.SSH非交互方式登录到远程服务器时,设置主机公钥确认StrictHostKeyChecking的值为ask或yes,避免历史SSH登录记录被病毒利用,形成内网扩散;

3.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;

4.推荐使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受安全漏洞影响。


腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。



企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)



5.推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。



参考链接:https://cloud.tencent.com/product/nta







IOCs
IP
178.157.91.26
45.137.151.106
146.71.79.230



域名
us.gsearch.com.de



Md5
e3d0432180db8c901874b518b28e0ec2
291dd7d9a2062d07976b14f7d9683d35
0813a0630f866571310be9ba3e42a9c5
8a80faa8369404d362104eff0720bf62
2b816fd2ff992e07f3f9fb3f27787c8a
0784af35182af63691d420a2af9d2b09
c74e02044b96d157d214e9871a09531a
da518ae458f4651f350094bc871b12c8
435f4fcc9f058edeb8be5428a83172b0
36ba07d8ce707c063b334bbd674650d2

URL
http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.ps1
http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.sh
http[:]//178.157.91.26/ec8ce6ab/is.sh
http[:]//178.157.91.26/ec8ce6ab/rs.sh
http[:]//178.157.91.26/ec8ce6ab/sysupdata
http[:]//178.157.91.26/ec8ce6ab/networkservics
http[:]//178.157.91.26/ec8ce6ab/updata.sh
http[:]//178.157.91.26/ec8ce6ab/sysguerd
http[:]//178.157.91.26/ec8ce6ab/sysupdata.exe
http[:]//178.157.91.26/ec8ce6ab/networkservics.exe
http[:]//178.157.91.26/ec8ce6ab/updata.ps1
http[:]//178.157.91.26/ec8ce6ab/sysguerd.exe
http[:]//178.157.91.26/ec8ce6ab/clean.bat

http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysguard.exe
http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysupdate.exehttp[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysguard.exe
http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysupdate.exe
http[:]//us.gsearch.com.de/api/sysupdate.exe
http[:]//us.gsearch.com.de/api/networkservice.exe

矿池:
xmr.f2pool.com:13531
randomxmonero.hk.nicehash.com:3380

钱包:
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr



[h1]
[/h1]

分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:148
帖子:3
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP