长按二维码关注
腾讯安全威胁情报中心
一、概述
腾讯安全威胁情报中心检测到攻击者对上千台云上主机进行SSH爆破攻击,爆破成功后会下载投递多个恶意模块。被入侵的云主机将被修改登录密码,添加名为shindei的管理员权限账户,添加系统免密登录配置,使失陷系统被黑客完全控制,进而导致信息泄露风险。
攻击者下载植入的多个恶意模块互相守护运行,进行挖矿运算会大量消耗系统资源,将严重影响正常业务系统运行。已部署腾讯主机安全、腾讯云防火墙的系统均安然无恙。
攻击者使用的恶意程序大部分为ELF文件格式,基于x86_64指令集。进一步分析发现,这些恶意程序为使用shc加密打包后的程序,腾讯安全因此该挖矿家族命名为SHC-Miner。
shc是一个打包加密shell脚本的工具,可把shell脚本转换为一个可执行的二进制文件。该工具的原理是将sh脚本使用RC4算法进行多重加密,运行时通过不断创建子进程迭代解密,最终执行被加密保护的脚本代码。
腾讯安全全系列产品已支持检测、拦截与SHC-Miner团伙相关的安全威胁:
二、腾讯安全解决方案
SHC-Miner相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。
腾讯安全威胁情报中心检测到SHC-Miner此次攻击活动影响数千台未部署安全防护产品的云主机。腾讯安全专家建议政企机构公有云系统通过部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。
腾讯主机安全(云镜)支持检测SHC-Miner团伙入侵时采用的SSH爆破攻击:
已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现攻击活动(添加公钥、解密执行代码等)。腾讯主机安全(云镜)支持对攻击过程中产生的木马落地文件进行自动检测。客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。也可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。
腾讯主机安全(云镜)支持检测与本次攻击活动有关的恶意命令执行:
政企客户可通过旁路部署腾讯天幕(NIPS)实时拦截SHC-Miner挖矿团伙的网络通信,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
三、详细分析
恶意文件:triples
SSH爆破成功后的初始投递模块,使用shc加密打包:
是对开源项目UnSHc修改后解密提取病毒所使用的sh脚本。
开源项目:https://github.com/yanncam/UnSHc
triples模块的主要功能:
1.感染环境判断:
通过zapppp进程判断是否已经感染,已感染情况自删除退出。
2.下载解压恶意包,执行包内Run模块:
download_host="74.201.28.7"
donwload_user="sucker"
download_pass="youcansuckit123"
包内包含多个恶意ELF模块以及相关配置文件:
3.修改后门帐号密码:
修改当前登录账号密码为随机,修改后门账号shindei密码为随机。
恶意文件:run
为shc加密打包的ELF可执行程序,功能如下:
1.添加ssh后门免密登录配置key;
2.添加管理员后门账号shindei;
3.将整个攻击流程相关配置写入var/tmp/.google/.yahoocfg
4.执行koko模块;
5.执行blind脚本;
6.清理bash_history。
恶意文件:koko
为shc加密打包的ELF可执行程序,功能如下:
1.清理竞品挖矿木马;
2.将模块1(文件名为1)写入计划任务项;
3.将自身koko模块写入计划任务项;
恶意文件:blind
清理脚本,其功能主要为删除系统内大量日志文件
恶意文件:1
注:1为文件名
为shc加密打包的ELF可执行程序,功能如下:
1.该模块被上述模块设置分钟级别计划任务,主要功能为监测koko进程和挖矿进程zapppp(exepid模块)存活状态,若失活就再次拉起。
2.拉起zapppp使用包内的.fake模块,达到进程重命名伪装的目的。
恶意文件:.fake
为ELF可执行命令行工具。病毒目前用到其-s命令,其功能为对恶意模块进程名进行伪装。
威胁视角看攻击行为
|
ATT&CK阶段 |
行为 |
|
侦察 |
扫描探测,确认存在开放SSH服务的待攻击主机 |
|
资源开发 |
注册C2服务器 |
|
初始访问 |
利用对外开放的SSH服务,爆破植入恶意命令执行恶意命令进而入侵系统植入恶意脚本 |
|
执行 |
植入恶意命令,随后下载多个恶意后门,挖矿模块。 |
|
持久化 |
矿机,守护进程通过计划任务进行持久化。 |
|
防御规避 |
使用多模块守护进程方式保障恶意模块运转不停止,通过Process Faker对进程信息进行伪装。 |
|
影响 |
门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。系统root账号被修改可能导致管理员无法正常登入系统。驻留在系统内的恶意后门登录项,也将给服务器带来不可预料的各类型网络风险。 |
IOCs
MD5
069bb246eccd10c7098167163446c059
c1d02d2b61f92d0fa8f0151e99c6b418
a8dd006a71d13aed978b86717db142d5
c8c234b96f5042a3fce2052933f5274e
fbdac6a8fc01eb758dddd02623c4b6b9
a8dd006a71d13aed978b86717db142d5
5114af829286ca45a95433547674e717
URL
hxxp://74.201.28.7:53213/tripleS
hxxp://74.201.28.7:53213/delete_uid1.sh
hxxp://74.201.28.7:53213/delete_uid0.sh
hxxp://74.201.28.7:53213/FBtmApkU345uEU0n.tar.gz
IP
74.201.28.7
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):SHC-Miner挖矿团伙通过SSH爆破攻击上千台云主机,腾讯主机安全支持查杀
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论