背景
近日,奇安信安全能力中心通过TG-DATA威胁分析平台捕获到多起通过攻击Tomcat服务器投递挖矿病毒的威胁事件,通过溯源分析发现该团伙在2019年开始活跃。
攻击者使用最新的Weblogic漏洞CVE-2020-14882写入恶意的JSP文件,一旦运行即会从公共云存储平台下载矿机并运行,同时该攻击样本兼顾Windows和Linux双平台。运行过程中通过清除竞品使得获取最大化收益。
攻击流程
技术分析
|
文件名 |
MD5 |
功能 |
|
m8CDHOfp.jsp |
01EC29154BBD8912A855BBF17E460291 |
包含恶意命令的JSP文件 |
|
St.exe |
C9FEDC96E2E340B7303D3636679243BF |
下载执行恶意powershell脚本 |
|
Javam.exe |
BBD844DEC81C60C5D4CC7DD856DC8475 |
Xmrig矿机,挖矿主程序 |
|
Config.json |
D9A27B523440C8BDF96FADE7703E7766 |
挖矿程序的配置文件 |
|
Clean.Bat |
50A238926D6AA4C9165C62461090F263 |
用于清除竞品的批处理脚本 |
攻击者通过漏洞攻击目标站点,一旦得手则写入如下内容的JSP恶意脚本,
恶意脚本一旦执行则根据当前操作系统(Windows/Linux)执行不同的攻击流程。案例中被害终端为Windows,会通过Certutil.exe获取PE文件st.exe,该PE用于下载执行powershell脚本ax.ps1,脚本内容如下:
该命令完成典型的PowerShell下载执行功能,脚本会首先清除名为"Update service for Windows Service"的计划任务,终止进程名为“kavpsvc”的进程。
之后检测是否存在javam.exe矿机进程,如果存在则执行清除操作。
执行clean.bat清理脚本,根据名称清除进程,计划任务及脚本文件,防止占用挖矿资源。清理脚本中包含的部分Ioc信息如下:
溯源
该团伙的主要通过攻击Web服务器投递门罗币挖矿病毒,已活跃近两年的时间。Weblogic漏洞曝出后该团伙愈发活跃起来。
根据对钱包地址进行追踪,可以看到当前的算力达到了519.4KH/S,根据当前的行情进行粗略计算,该钱包地址每天能有1800元的进账。
下面是四个节点该团伙使用的powershell命令对比。
|
2019/07 |
|
|
2019/11 |
|
|
2020/03 |
|
|
2020/12 |
|
总结
1.及时更新Web组件,阻断漏洞利用的可能
2.避免开放非必须的端口,同时不要使用弱口令
3.部署安全防护产品(奇安信天擎),可有效阻断此类攻击
IOCS
MD5
317218AF775ADE93D34F74B2522185B9
D9A27B523440C8BDF96FADE7703E7766
BBD844DEC81C60C5D4CC7DD856DC8475
URL
http[:]//101.78.142.74:8001/xavg/javae.exe
https[:]//www.naosbio.com/images/main/js/av/clean.bat
https[:]//www.naosbio.com/images/main/js/av/config.json
https[:]//www.naosbio.com/images/main/js/av/javam.exe
http[:]//27.1.1.34:8080/docs/ax.ps1
钱包地址
47PXdhiZphNHka2K1J9udPj5Nct4zpvCRUMqwVY4Rvyxf3FLmPqyR6J68hDX4fUF65jNxJa43szPM3Ni5zDerArzSkdFp1K
48aviohKeqyLCMcWSrvX9BbXWPeZLJps35pMBmFMtxtnXTR9HNPVYU8J1VNHmhhraoDEeZ3nBhdtHDJ2f4wskcbv3rd1f1Z
本文始发于微信公众号(奇安信威胁情报中心):XavgMiner挖矿家族最新动向
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论