鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序

  • A+
所属分类:安全文章
0x0 背景

近期深信服安全团队通过数据运营捕获到发现一起使用QRL挖矿的黑产团伙,该团伙将使用的所有样本均保存在某大型材料制造商的官网的目录下用于绕过主流威胁情报的检测。量子抵抗分类账(QRL)项目是一款专门针对量子计算(QC)进步而设计的公开链分类帐,该场景支持的POS算法设计为对传统签名无依赖性,允许节点在低功率设备(如树莓派或笔记本电脑)上运行,并被动地通过放样赚取收入。

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


通过对url的剖析 http://acrilex.com/alex/x.sh,可以知道C2服务器是Acrilex Inc ——美国的一家材料制造商。同时在acrilex.com/alex目录下发现webshell大马installer.jsp,可以用于查看系统信息,读取文件、上传文件、执行命令、创建目录、创建文件等。


0x1 详细分析

首先根据url  http://acrilex.com/alex/x.sh查询可以发现其IP地址为美国 亚利桑那州 凤凰城。其中注册机构为Acrilex Inc,根据http://acrilex.com官网显示Acrilex是一家自1970年以来领先的塑料片材、棒材和挤压型材制造商。他们曾定制造丙烯酸安全屏障帮助减缓Covid-19传播。

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序

x.sh的主要有以下行为:

下载文件QRL-miner.tgz、libprocesshider.so

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


Libprocesshider.so此工具作用为劫持系统的readdir64和readdir函数,当readdir函数被调用时,先调用系统的readdir函数在readdir返回的进程名字里面去比较进程名字是否含有特定进程,如果存在该进程则不将readdir的结果返回给调用者以此达到隐藏进程的目的。


QRL-miner目录结构如下其主要是运行挖矿需要的环境与其他特殊功能的对应文件

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


x文件主要用于清理系统下的history日志记录清理入侵痕迹

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


关闭挖矿相关进程清除其他挖矿的恶意程序便于独占当前资源

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


根据不同的系统架构运行挖矿程序主体xmrig 主要为51.91.78.16:3333

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序

 

stak目录下为挖矿组件的支撑模块与Xmirg的程序主体

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


https://acrilex.com/alex/ 可以发现其下目录含有诸多病毒样本.alex路径猜测为黑产团伙的某个特定的含义。

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


在authorized_keys文件里发现ssh密匙,其中后面带有日期20141006

AAAAB3NzaC1yc2EAAAABJQAAAQEAm4OL3t9/CKCXnaS1FqMqVBZtIctaDGfNTwkBypjk7LskJYRJn+y+dykldCNGmtRuNBCsBpzVIvY69ap4AX2h02FBhhngnOZl/P7so4JNo0EBVdeb8tps7fJryXFvbSFv5J+9OlbXa35aKQFPE1G4rQ7KM9cnUXnRtsZz/TPRwx7HRBPlM0FajN48djc2yQaHPtzustZ4YC6NMuadaZZlRMf5+HF6lpdHdsMmLuSlYBigRc1yI9OSlpFSQMxpqyCTiiPO8jOuoARu8ZT5cWzWcjce1oJ7t8IlklCPMnwtjFLdNCQsthXQU86s+5iey0Yons4WC5RW/zaDKStdGvq0qw==

 

banner22-2020.log里面存放有11263901条日志记录,存放主机的ssh协议的相关内容。

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


0x2 webshell管理

攻击者在受害者的官网目录部署的installer.php为webshell大马,里面可以查看系统信息,读取文件、上传文件、执行命令、创建目录、创建文件,方便于攻击者管理更新。

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


Sec. Info用于查看系统信息

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


Files模块主要为目录管理模块

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


其中Bruteforce模块,有FTP、mysql、PostgreSql三种方式。

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


其中String tools模块提供了进行多种编码的转换的功能

鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序


0x3 结论

从当前掌握的数据推测该黑产团伙主要通过web系统漏洞获取到了当前受害者的网站的管理权限,通过webshell的方式在当前网站目录下建立了alex的文件目录存放挖矿需要用的程序套装,待成功入侵挖矿的肉鸡后使用互联网从某高信誉的网站目录拉取对应的挖矿程序主体并在系统当中隐藏运行主体避免被发现查杀。


0x4 加固建议 

1. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

2. 使用高强度的主机密码和数据库密码,并避免多台设备使用相同密码,尽量关闭不必要的共享;

3. 定期检测系统漏洞并且及时进行补丁修复,常见易被木马家族利用进行横向传播的漏洞补丁包括MS17-010、MS08-067等


IOC
url

http://acrilex.com/alex/x.s

MD5

36c50280bc7217ae7b917c1c1dd6e28

a

0bec069a230152acdcdf2ba9fa123e6

bash

07c12a1d1cc6bb85e70b8e93c5c7fe72

bash3

e34d0f146a7804f99339ecfe819c5fca

c

0d01bd11d1d3e7676613aacb109de55f

h32

c644c04bce21dacdeb1e6c14c081e359

h64

4efd7aa81b1e2b3fda48a958f059578e

run

d6060d58b605418f10b7afaf2c666f1e

upd

a127fa3c580e908390200dd936868e29

x

7b3677e7363a172ba43ccd1952a25ff6

z

2b6959bd03fc35255ad72c893c65dee9

QRL-miner.tgz

09aec854dbc5278682683762d7ce7043

installer.ph


本文始发于微信公众号(深信服千里目安全实验室):鸠占鹊巢!某QRL挖矿黑产团伙挂马用户官网中转恶意程序

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: