挖矿木马SysupdataMiner利用多个漏洞同时攻击Windows、Linux

长按二维码关注

御见威胁情报中心

一、背景

近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播，然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。

在感染的机器上，SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载，会通过多种特征检测其他挖矿木马并进行清除，然后下载门罗币挖矿木马sysupdata并启动。为保证挖矿程序在系统长久驻留，该木马会下载守护模块sysguerd，实时检测挖矿进程是否存活，发现失活则重新启动，若挖矿程序文件不存在，会重新下载运行。

SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件，可进行跨平台攻击，其使用的漏洞攻击模块networkservics会针对全网段IP的Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。

SysupdataMiner挖矿木马的攻击流程

二、样本分析

1.核心脚本Updata.sh
SysupdataMiner在感染机器执行shell脚本init.sh，后续攻击过程中会通过定时任务反复下载执行updata.sh。updata.sh目前与init.sh相同，是攻击过程中的主要脚本，负责下载启动挖矿模块、漏洞攻击模块、进程守护模块，以及利用Pnscan和Masscan扫描Redis服务并进行弱口令爆破攻击。

updata.sh检查进程中是否存在载阿里云骑士和腾讯云镜，如存在则下载对应卸载程序进行卸载。

通过匹配预先搜集的矿池地址、端口、进程路径、文件名、钱包地址的方式，检测其他挖矿进程并清除。

安装Crontab定时任务每30分钟执行一次脚本updata.sh

配置/root/.ssh/authorized_keys使得当前Linux机器可以免密登陆SSH

挖矿模块sysupdata

核心脚本updata.sh下载门罗币挖矿木马sysupdata，该木马由开源挖矿程序XMRig编译，并通过添加UPX壳进行保护。

挖矿时使用矿池：
xmr.f2pool.com:13531
randomxmonero.hk.nicehash.com:3380

钱包：
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr

其中第一个钱包已挖矿获得门罗币90个，当前市价折合人民币42000余元。

脚本继续下载启动守护模块sysguerd，该模块负责实时检测挖矿进程是否存活，发现进程不存在则重新下载攻击脚本执行，重启挖矿和攻击进程。

攻击模块networkservics

核心脚本下载启动扫描攻击模块networkservics，针对Weblogic(7001)、Redis(6379/6380)、Spring(8080)、SqlServer(1433)、Hadoop(8088)、Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。

待扫描的IP列表为http[:]//178.157.91.26/ec8ce6ab/ips_cn.txt，覆盖1.0.1.0~223.255.253.255全网段的IP地址

针对存在漏洞的目标机器，使用对应组件的远程代码执行漏洞进行攻击。

updata.sh本身还会利用本机登录使用SSH其他Linux系统产生的记录/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub重新登录目标系统，并在登录后执行脚本is.sh进行感染。

is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描，并尝试使用以下弱口令进行爆破登录：
redis
root
oracle
password
p@aaw0rd
abc123
abc123!
123456
admin

三、跨平台攻击

对木马服务器178.157.91.26上存放的文件进行分析，可以发现SysupdataMiner会针对Windows系统与Linux系统执行相似流程的攻击，只是将Linux系统的Shell脚本替换为了相应的Powershell脚本，可执行样本文件由ELF文件替换为PE文件，持久化攻击时由安装crontab定时任务变为安装SchTasks.exe计划任务。

四、安全建议

腾讯安全专家建议企业网络管理员参考以下指引加固服务器：

1.为Redis添加强密码验证，切勿使用弱口令；

2.SSH非交互方式登录到远程服务器时，设置主机公钥确认StrictHostKeyChecking的值为ask或yes，避免历史SSH登录记录被病毒利用，形成内网扩散；

3.定期对服务器进行加固，尽早修复企业服务器相关组件的安全漏洞，并及时进行漏洞修复；

4.推荐使用腾讯T-Sec 网络资产风险检测系统（腾讯御知）全面检测企业网络资产是否受安全漏洞影响。

腾讯T-Sec 网络资产风险检测系统（腾讯御知）是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险，包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

企业用户可扫描以下二维码，免费使用腾讯T-Sec 网络资产风险检测系统（腾讯御知）。

5.推荐企业用户部署腾讯安全T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。

参考链接：https://cloud.tencent.com/product/nta

IOCs
IP
178.157.91.26
45.137.151.106
146.71.79.230

域名
us.gsearch.com.de

Md5
e3d0432180db8c901874b518b28e0ec2
291dd7d9a2062d07976b14f7d9683d35
0813a0630f866571310be9ba3e42a9c5
8a80faa8369404d362104eff0720bf62
2b816fd2ff992e07f3f9fb3f27787c8a
0784af35182af63691d420a2af9d2b09
c74e02044b96d157d214e9871a09531a
da518ae458f4651f350094bc871b12c8
435f4fcc9f058edeb8be5428a83172b0
36ba07d8ce707c063b334bbd674650d2

URL
http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.ps1
http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.sh
http[:]//178.157.91.26/ec8ce6ab/is.sh
http[:]//178.157.91.26/ec8ce6ab/rs.sh
http[:]//178.157.91.26/ec8ce6ab/sysupdata
http[:]//178.157.91.26/ec8ce6ab/networkservics
http[:]//178.157.91.26/ec8ce6ab/updata.sh
http[:]//178.157.91.26/ec8ce6ab/sysguerd
http[:]//178.157.91.26/ec8ce6ab/sysupdata.exe
http[:]//178.157.91.26/ec8ce6ab/networkservics.exe
http[:]//178.157.91.26/ec8ce6ab/updata.ps1
http[:]//178.157.91.26/ec8ce6ab/sysguerd.exe
http[:]//178.157.91.26/ec8ce6ab/clean.bat

http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysguard.exe
http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysupdate.exehttp[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysguard.exe
http[:]//146.71.79.230/363A3EDC10A2930DVNICE/sysupdate.exe
http[:]//us.gsearch.com.de/api/sysupdate.exe
http[:]//us.gsearch.com.de/api/networkservice.exe

矿池：
xmr.f2pool.com:13531
randomxmonero.hk.nicehash.com:3380

钱包：
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr

[h1]
[/h1]