Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

admin
admin
admin
102212
文章
87
评论
2021年1月21日11:39:09评论171 views字数 4040阅读13分28秒阅读模式

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

长按二维码关注

腾讯安全威胁情报中心

一、概述

腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。


Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。


该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。


自查处置建议

腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞(CVE-2020-14882),修复Nexus Repository Manager 3mysql、Tomcat服务器存在的弱口令风险,对系统以下条目进行排查:


文件:
Linux:
/tmp/network01
/tmp/sysrv
/tmp/flag.txt


Windows:
%USERPROFILE%appdataloacaltmpnetwork01.exe
%USERPROFILE%appdataloacaltmpsysrv.exe


进程:
network01
sysrv


定时任务:
排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项


腾讯安全响应清单

腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


具体响应清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)威胁情报已加入,可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

(Cloud  Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量:

1)Sysrv-hello相关联的IOCs已支持识别检测;

2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击;

3)支持检测mysql爆破攻击。

 

有关云防火墙的更多信息,可参考:
 https://cloud.tencent.com/product/cfw

腾讯T-Sec   主机安全

(Cloud  Workload Protection,CWP)

1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)支持识别、检测Sysrv-hello相关联的IOCs;

2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击;

3)支持检测mysql爆破攻击。

 

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 (iOA)

1)已支持Sysrv-hello关联模块的检测告警和查杀清理。

 

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

二、详细分析

腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击,下图为攻击过程中产生的恶意payload。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


恶意payload执行后Nexus将添加名为t的task脚本执行任务,该任务触发执行后(“action":"coreui_Task","method":"run"...)进一步下拉恶意脚本执行,恶意脚本地址(hxxp://185.239.242.71/ldr.sh)

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


ldr.sh恶意脚本首先会尝试卸载云主机安全软件(aliyun,yunjing),停止部分服务(安全软件,挖矿木马),同时删除部分docker挖矿镜像。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理)

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


尝试下载矿机命令执行,进程名为network01,矿池,钱包地址如下:
Pool.minexmr.com
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa


xmr.f2pool.com
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


最后将其自身写入计划任务,并删除本地相关对应文件

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


该木马不仅攻击Linux系统,同时发现针对Windows平台的恶意载荷,攻击Windows系统成功后会植入powershell恶意脚本,脚本会进一步拉取Windows平台的相同模块到tmp目录执行。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


Linux系统下sysrv模块通过使用52013端口作为互斥量,端口开启状态判定为已感染环境直接退出,否则打开本地该端口进行占用。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


sysrv通过检测进程,判断network01进程(矿机进程)是否正常运行,如果未正常运行,就在tmp目录进一步释放出文件内嵌的elf文件,并命名为network01将其执行。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


network01模块为门罗币矿机程序,该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


sysrv确认挖矿行为正常运行后,会开始进行蠕虫式的攻击传播:进行随机IP的端口扫描与漏洞利用,会尝试对mysql,Tomcat服务进行爆破攻击,尝试对Weblogic服务使用CVE-2020-14882漏洞(该漏洞公告由Oracle官方于2020年10月21日公开)进行远程代码执行攻击,这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

 

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


hello_src_exp爆破,漏洞利用组合攻击

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


攻击mysql服务使用的弱口令爆破字典

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


攻击Tomcat服务使用的爆破口令

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击,该安全漏洞为2020年10月Oracle官方公告修复,属于相对比较新的漏洞攻击武器。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿


IOCs

MD5:
33c78ab9167e0156ff1a01436ae39ca1
6db4f74c02570917e087c06ce32a99f5
750644690e51db9f695b542b463164b9
d708a5394e9448ab38201264df423c0a
bc2530a3b8dc90aca460a737a28cf54b
236d7925cfafc1f643babdb8e48966bf

URL:
hxxp://185.239.242.71/ldr.sh
hxxp://185.239.242.71/ldr.ps1
hxxp://185.239.242.71/xmr64
hxxp://185.239.242.71/xmr32
hxxp://185.239.242.71/xmr32.exe
hxxp://185.239.242.71/xmr64.exe
hxxp://185.239.242.71/sysrv
hxxp://185.239.242.71/sysrv.exe

IP:
185.239.242.71

矿池&钱包
pool.minexmr.com
xmr.f2pool.com
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa


Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

本文始发于微信公众号(腾讯安全威胁情报中心):Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月21日11:39:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿https://cn-sec.com/archives/248274.html

发表评论

匿名网友 填写信息