长按二维码关注
腾讯安全威胁情报中心
摘要
-
利用Nexus 2 yum插件远程命令执行漏洞(CVE-2019-5475)攻击云主机;
-
利用SSH爆破攻击横向传播;
-
预留登录配置项;
-
清理竞品挖矿木马;
-
利用空格文件夹名实现隐藏;
-
添加后门账户.syslogs1q;
-
最终载荷:Ks3-Miner门罗币挖矿木马。
一、概述
腾讯安全威胁情报中心检测到Ks3-Miner挖矿木马团伙的攻击活动,该团伙利用Nexus 2 yum插件远程命令执行漏洞(CVE-2019-5475)对云上主机发起攻击。Ks3-Miner挖矿木马家族最早出现于2020年6月,早期依靠暴力破解ssh服务攻击传播。该团伙除通过挖矿牟利外,还会在系统预留后门登录配置项。
腾讯安全专家根据某用户提交的服务工单发现,用户部署的腾讯云防火墙阻断了本次攻击。技术溯源分析发现,若Ks3-Miner团伙利用漏洞攻击得手,会下载运行门罗币挖矿模块,大量消耗CPU资源,影响企业主机正常业务运行,严重时可能导致正常业务崩溃。
分析发现攻击者在失陷主机留置后门会导致系统整体安全性下降,增加主机被其他攻击者入侵的风险,腾讯安全专家在该团伙控制的C2服务器上发现了更多用于攻击的恶意程序。
腾讯安全全系列产品,可以阻断Ks3-Miner挖矿团伙对政企机构公有云系统的入侵活动。
排查和加固
腾讯安全专家提醒政企机构用户对云上主机做好相应安全防范和故障排查工作。
文件:
排查.mmwie相关木马目录,对其内所有模块清除(例:/var/tmp/.mwwie)
进程:
排查名为init*的异常高CPU占用进程,对其结束
配置:
排查/root/.ssh/authorized_keys是否有异常添加项
排查/etc/passwd是否存在异常添加的账户信息(例:.syslogs1q)
加固:
1.版本升级:
Nexus Repository Manager OSS > 2.14.13
Nexus Repository Manager Pro > 2.14.13
2.修改默认密码admin/admin123
腾讯安全响应清单
腾讯安全系列产品针对Ks3-Miner挖矿木马团伙的响应清单如下:
|
应用场景 |
安全产品 |
解决方案 |
|
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
|
腾讯T-Sec 网络空间风险云监测系统 (CCMS) |
1)Ks3-Miner相关情报已加入。
腾讯安全云监测系统,面向行业用户的监管方和被监管方,结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等,为用户提供全面、及时的互联网风险监测评估服务,并可提供配套安全管家服务,可对相关风险提供有效的响应处理。 |
|
|
腾讯T-Sec 高级威胁追溯系统 |
1)Ks3-Miner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Ks3-Miner相关联的IOCs已支持识别检测; 2)Ks3-Miner发起的Nexus 2(CVE-2019-5475)恶意攻击支持检测,阻断; 有关云防火墙的更多信息,可参考: |
|
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)云镜已支持Ks3-Miner关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持: 1)Ks3-Miner相关联的IOCs已支持识别检测; 2)Ks3-Miner发起的Nexus 2(CVE-2019-5475)恶意攻击,支持识别检测 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
|
腾讯T-Sec 零信任无边界 访问控制系统 (iOA) |
1)已支持Ks3-Mine关联模块的检测告警,查杀清理。
零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html |
二、样本分析
Nexus Repository Manager 2于2019年8月披露了一个远程命令执行漏洞(CVE-2019-5475), 该漏洞默认具有部署权限帐户,成功登录后可以使用“createrepo”或“mergerepo”来自定义配置,进而触发远程命令执行。
使用默认admin/admin123管理员账户登录Nexus 2后台,该账户默认具有部署权限:
通过对其createrepo或mergerepo进行自定义配置,可以触发Nexus 2 yum插件远程命令执行漏洞(CVE-2019-5475),如下图测试注入命令在tmp目录创建123456.AAA文件
腾讯云防火墙检测到有攻击者使用Nexus 2 yum插件远程命令执行漏洞(CVE-2019-5475)对云上机器发起攻击
攻击payload成功执行后,被攻击系统内将被植入ks3恶意脚本,该脚本将进一步下拉其它恶意模块。经分析,该payload最终载荷为Ks3-Miner门罗币挖矿木马。
系统内被植入ks3.sh恶意脚本,同时进一步下拉nexus恶意包。
Ks3-miner入侵初始脚本与老版本基本一致,首先尝试读取系统known_hosts文件中历史登录认证信息,使用该信息尝试进行SSH登录后植入恶意脚本ks3,实现木马横向传播。同时修改authorized_keys文件添加免密登录公钥信息,留下后门以便后期方便攻击者再次进入系统,会对其它挖矿木马进行清理以便后续对系统资源进行独占挖矿。
拉取nexus包文件解压后执行,解压后木马运行所在文件夹名使用双空格“ ”,目的为使用空格文件夹名实现隐藏,同时其挖矿病毒矿机名也使用该方式,命名为init “(数十个空格)”x形式,部分文件以及目录使用隐藏属性,通过该系列方式意图隐藏本地自身文件。
添加后门账户.syslogs1q,对远程登录安全策略配置文件sshd_config进行修改,方便后续进一步利用后门账户登录。
nexus包结构如下,最终通过调用edoeprost脚本,循环调用sloboz进行实时监控init*x进程进行门罗币挖矿。
观察Ks3-Miner文件托管的ftp地址,自2020年9月以来,几乎每个月均有版本修改,最近一次修改为2021-02-23,活动较为频繁。其中,cs,ks*均为入侵后各修改版本的脚本文件,momoz为反弹shell恶意脚本,反弹shell使用的C2地址为144.217.207.15/2211。Confl、mrcdddasd、weblogic为与nexus功能一致的挖矿调度包。
三、威胁视角看攻击行为
|
ATT&CK阶段 |
行为 |
|
侦察 |
扫描IP端口,确认可攻击目标存在的Web服务:SSH,NEXUS等。 |
|
资源开发 |
注册C2服务器 |
|
初始访问 |
利用对外开放的SSH,NEXUS服务,植入恶意Payload执行恶意命令进而入侵系统 |
|
执行 |
首先植入恶意脚本执行恶意命令,随后下载植入XMR挖矿调度包 |
|
持久化 |
创建后门登录账户,后门免密登录配置项 |
|
防御规避 |
通过使用双空格文件夹名来隐藏其恶意模块木马,通过使用隐藏文件属性来隐藏部分文件夹及模块 |
|
发现 |
通过~/.ssh/known_hosts和~/.ssh/id_rsa.pub发现入侵主机历史登录凭据,用于进一步横向移动 |
|
数据渗出 |
分析其ftp内木马,存在反弹shell后门程序,推测攻击者有可能后期会通过后门进一步实施数据窃取行为。 |
|
影响 |
门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 |
该团伙相关的威胁数据已加入腾讯安全威胁情报,已赋能给腾讯全系列安全产品,用户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御能力。
推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。
腾讯云防火墙已支持Nexus(CVE-2019-5475)漏洞拦截,可检测、拦截利用Nexus漏洞发起得恶意攻击行为。
腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测,用户可后台一键隔离或删除木马。
私有云用户可通过腾讯高级威胁检测系统进行流量检测分析,及时发现黑客团伙的攻击活动。
腾讯高级威胁检测系统(御界)可检测到利用Nexus(CVE-2019-5475)发起的恶意攻击行为。
IOCs
MD5:
c497760d9123b17ee2e56608caffe681
edf4bd45bd9f8fdfa01c2c2950b82cc7
875179f52c54f668bbe4db634541e79d
0c2de10d4330287b28c3b8573c8539f6
6f2a2ff340fc1307b65174a3451f8c9a
564496e0e92f87be2e657ddcce52d209
URL:
fxp://144.217.207.79/.ascuns/ks3
fxp://144.217.207.79/.ascuns/momoz
fxp://144.217.207.79/.ascuns/nexus
IP:
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):腾讯云防火墙成功阻断Ks3-Miner团伙利用Nexus 2 yum插件漏洞(CVE-2019-5475)攻击云主机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论