概述 近日，深信服威胁情报团队在云蜜罐中捕获到Sysrv-hello挖矿家族的最新变种，作者于7月10日和7月21日进行了多次更新，该病毒家族的攻击模块达到了18个，在本次更新中，新增了SSH爆破、PostgreSQL RCE（CVE-2019-9193）和Struts2 RCE（CVE-2017-5638）攻击模块，进一步扩大了影响范围和危害，目前监测到失陷主机数量正呈上升趋势。Sysrv-hello家族最早出现于2020年12月份，至今其版本迭代已数十次，不断的新增攻击模块，是一个新型且十分活跃的家族。在最新的威胁情报分析中，我们发现了其最新发展之一，包括前置Payload去除了卸载云主机安全软件的模块以及新的自建钱包地址，并且其入侵手法基本覆盖到大多数政企单位常用的Web服务，危害严重，深信服威胁情报团队提醒相关运维人员及时更新补丁做好防护。 本次关键更新1. 前置Payload去除了之前新增的卸载云主机安全软件模块和a.py和BrowserUpdat.exe模块；（疑似版本回溯）2. 删除部分漏洞利用模块，并新添SSH爆破、PostgreSQL RCE（CVE-2019-9193）和Struts2 RCE（CVE-2017-5638）攻击模块，目前该版本共有18种攻击模块，并且仍在不断迭代更有效的横向攻击模块；3. 更换矿机地址为自己的C2服务器，疑似使用自建矿池。 病毒攻击流程 攻击活动通过深信服云端数据分析，发现该病毒近期扩散十分迅速，短期内有大量主机中招。如下图Sysrv-hello病毒近期的感染量，可以看到病毒在7月2-7日进行了大规模入侵活动： 样本关联通过威胁情报图数据库进行样本关联，发现大量的同家族威胁样本，该病毒的特征属于更新快、持续迭代演进的病毒家族： 病毒样本分析 Sysrv-hello攻击目标同时覆盖Windows和Linux操作系统，针对两平台除前置Payload不同外，其他模块基本一致。其中主体程序sys可执行文件（横向传播模块）是由Golang编写的，因此具备跨平台性。矿机使用的是开源XMRig矿机。下面将分别介绍Windows和Linux的前置Payload以及主体程序sys。 Windows版本入侵Windows系统成功后，植入名为ldr.ps1的PowerShell脚本来执行恶意命令。ldr.ps1脚本主要功能为：1. 关闭防火墙并结束自身老版本病毒的进程；2. 通过监测其他挖矿家族常用端口来清除竞品挖矿程序；3. 从C2：http//194.145.227.21/sys.exe下载并执行主体程序sys.exe，并通过创建计划任务和写注册表来实现本地持久化。 Linux版本入侵Linux系统成功后，植入名为ldr.sh的Shell脚本来执行恶意命令。ldr.sh脚本功能大致与Windows下的ldr.ps1大同小异，但功能更为完善。如：1. 关闭防火墙并结束自身老版本病毒的进程；2. 通过监测其他挖矿家族常用端口来清除竞品挖矿程序；3. 从C2：http//194.145.227.21/sys.x86_64下载并执行主体程序。除此之外ldr.sh，还会读取/、/root和/home目录下的SSH私钥及配置文件，并结合获取到的SSH密钥进行爆破。当爆破成功后，便在新的受害主机上下载并运行ldr.sh脚本，代码如图： 主体sys程序（横向传播模块）由于主体sys程序是由Golang编写的，因此不同平台前置Payload下载的sys.exeh和sys.x86_64其代码和功能差距不大，因此本文将以Windows版本进行介绍。通过脚本还原Go语言的函数和字符串之后，能定位出作者的编译路径和作者的用户名为K：创建端口互斥体根据受害主机名生成随机端口，并将该随机端口作为互斥体，当检测到该端口已处于监听状态便退出程序，来确保唯一进程执行。横向传播本次捕获到的Sysrv-hello一共包含18个横向攻击模块，根据随机生成的IP进行端口扫描，判断目标开放的服务，来确认使用的攻击方式。18种横向攻击方式如下表：端口漏洞9999XXL-JOB executor 未授权访问漏洞8888Jupyter未授权访问漏洞80Laravel Debug mode RCE（CVE_2021_3129）80/8080Tomcat 弱口令爆破80/8080Jenkins RCE（CVE-2018-1000861）8081Nexus Repository Manager 3 RCE（CVE-2019-7238）7001WebLogic RCE CVE-2020-148826379Redis弱口令爆破9001Supervisord远程命令执行漏洞（CVE-2017-11610）80JBoss反序列化漏洞(CVE-2017-12149)80ThinkPHP5 RCE5432PostgreSQL RCE（CVE-2019-9193）8090Confluence RCE（CVE-2019-3396）22SSH 爆破80Struts2-s2-045 RCE （CVE-2017-5638）80phpunit RCE（CVE-2017-9841）8088Hadoop YARN REST API未授权漏洞利用80Wordpress-XMLRPC暴力破解注：其中标红的为本次版本新增的横向攻击模块。新增横向攻击模块新增PostgreSQL RCE（CVE-2019-9193）漏洞利用模块，如图：新增struts2-s2-045 RCE（CVE-2017-5638）漏洞利用模块：新增SSH爆破：历史漏洞利用模块XL-JOB executor 未授权访问漏洞利用模块：Jupyter未授权访问漏洞利用模块：Laravel Debug mode RCE（CVE_2021_3129）漏洞利用模块：Tomcat 弱口令爆破模块：Jenkins RCE CVE-2018-1000861漏洞利用模块：Nexus Repository Manager 3 RCE（CVE-2019-7238）漏洞利用模块：WebLogic RCE （CVE-2020-14882）漏洞利用模块：Redis未授权写漏洞利用模块：Supervisord远程命令执行漏洞（CVE-2017-11610）利用模块：JBoss反序列化漏洞(CVE-2017-12149)利用模块：ThinkPHP5 RCE漏洞利用模块：PostgreSQL RCE（CVE-2019-9193）漏洞利用模块：Confluence RCE（CVE-2019-3396）漏洞利用模块：Payload：Phpunit RCE（CVE-2017-9841）漏洞利用模块：Hadoop YARN REST API未授权漏洞利用：WordPress暴力破解：XMRig挖矿最后，样本会创建守护线程（go routine）来守护矿机进程和文件，先将XMRig挖矿程序释放到临时目录下，并重命名为kthreaddi，然后释放配置文件，当挖矿进程运行起来，便会将配置文件删除。矿池地址为：194.145.227.21:5443，矿池与C2地址一致，并且本地配置和抓包都没有看到钱包地址，因此推测此版本使用的是病毒作者自建的矿池，详细配置如图：抓取的XMRig登陆信息的流量包： IOC MD5DA63A2F797B27F31745CFB8F94479BF4（sys.x86_64）D51BA1FEE712AAC5A3A17129782115AF(sys.exe)C67607C0927154A4D2EFD79AD502CC7D(ldr.ps1)46C7302FE138E6A877755A3B5203303A(ldr.sh)A7013A2C7FD3A6168A7C0D9EED825C32(kthreaddk.exe)IP194.145.227.21URLhttp//194.145.227.21/ldr.ps1http//194.145.227.21/ldr.shhttp//194.145.227.21/sys.exehttp//194.145.227.21/sys.x86_64 深信服产品解决方案 【深信服EDR】深信服EDR集成SAVE人工智能检测引擎，拥有强大的泛化能力，可轻松查杀该病毒，建议及时升级最新版本，并接入安全云脑，使用云查服务及时检测防御新威胁；【深信服下一代防火墙】可防御此次事件所使用的漏洞， 建议用户将深信服下一代防火墙开启 IPS 防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。【深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该次事件所使用的漏洞，并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。【深信服安全云眼】深信服安全云眼针对此次事件所使用的漏洞已具备扫描能力，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。注册地址：http://saas.sangfor.com.cn【深信服云镜】深信服安全云眼针对此次事件所使用的漏洞已具备扫描能力，部署了云镜的用户可以快速检测网络中是否受该高危风险影响，避免被攻击者利用。【深信服安全运营服务】通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。 深信服蜜罐活动 —— 福利放送 ——为回馈新老用户凡是开通云鉴订阅服务开通1年送3个月云蜜罐订阅服务开通3年送1年云蜜罐订阅服务即刻扫码申请↓↓↓深信服千里目安全实验室深信服科技旗下安全实验室，致力于网络安全攻防技术的研究和积累，深度洞察未知网络安全威胁，解读前沿安全技术。● 扫码关注我们 本文始发于微信公众号（深信服千里目安全实验室）：Sysrv-hello僵尸网络又有什么新“招式”？深信服云蜜罐捕获最新变种