腾讯云原生安全产品成功防御z0miner挖矿团伙利用多种漏洞对云主机的攻击

长按二维码关注

腾讯安全威胁情报中心

一、概述

腾讯安全专家接到某公有云客户求助，客户称云主机运行性能变差，用户访问缓慢。征得客户同意后，腾讯安全专家对故障云主机进行排查，发现该客户使用的云主机没有部署任何安全防护软件，且安装的多个服务器组件版本过低，存在严重漏洞。主机CPU资源占用已接近100%，进一步排查发现该主机已感染z0miner挖矿木马最新版本。

腾讯安全专家协助该客户清理了z0miner挖矿木马，根据最新的威胁情报数据，查明其他同样未安装公有云安全软件已中招的云租户已有数千位，腾讯安全专家已通过相应渠道通知这些失陷客户及时采取有效措施清除木马，加固系统。

同样的威胁也在近期攻击了已部署腾讯云原生安全软件的客户，有多个已部署腾讯主机安全的企业客户检测到可被z0miner挖矿木马利用的高危漏洞，有客户收到云防火墙阻断多个漏洞攻击云主机的告警短信，高危漏洞攻击被云防火墙成功阻断，漏洞攻击已无法得逞。

腾讯安全威胁情报中心曾在去年12月披露z0miner挖矿木马团伙利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）攻击了约5000台服务器，近期观察到该团伙使用的漏洞武器已经升级为多种漏洞工具并用。

得益于腾讯云原生安全产品的防护能力，已部署腾讯云原生安全产品的云租户在本轮攻击中，均安然无恙。其中，腾讯云防火墙每天拦截数千次由z0miner挖矿木马团伙对公有云租户的攻击。

腾讯安全全系列产品可以Z0Miner攻击的各个环节进行检测防御

二、清理与加固

腾讯安全专家建议政企客户安全运维人员对以下条目进行排查，以判断云主机是否遭遇z0miner挖矿团伙的攻击。

进程

/tmp/.solr/solrd

文件

/tmp/.solr/config.json
/tmp/.solr/solrd

/tmp/.solr/solr.sh

计划任务

包含pastbin的可疑恶意载荷任务。

加固以下服务器组件
1.修改Nexus3内置默认帐号密码admin:admin123
2.将Nexus3，Confluence，Weblogic，Struts2升级到最新版本，对Jenkins添加认证且设置强密码。

三、本轮攻击的主要技术点

分析腾讯云防火墙拦截到z0miner挖矿木马利用漏洞攻击的payload代码，发现该团伙新增5种漏洞攻击能力：Nexus3命令执行漏洞（CVE-2019-7238）、Confluence未授权模版注入/代码执行漏洞（CVE-2019-3396）、Weblogic未授权命令执行漏洞(CVE-2020-14882)、Jenkins未授权命令执行漏洞、Struts2命令执行漏洞 （s2-016，s2-046）。

漏洞攻击得手后会下载不同的恶意脚本执行，会结束竞品挖矿木马进程，删除竞品挖矿木马文件，并尝试添加计划任务（当前捕获的版本载荷为空）。最后下载门罗币挖矿模块进行挖矿计算。查看该团伙当前使用的钱包，发现已获得26.9个门罗币，市值约￥4万元。

从威胁视角看，其攻击行为如下：

ATT&CK阶段	行为
侦察	通过随机生成IP，扫描IP端口，确认可攻击目标存在的Web服务：Nexus3、Confluence、Weblogic、Struts2、Jenkins等。
资源开发	注册C2服务器
初始访问	利用对外开放的Web服务，植入恶意Payload执行恶意命令进而入侵系统
执行	首先植入恶意脚本执行恶意命令，随后下载植入ELF挖矿模块
持久化	利用计划任务实现持久化驻留
防御规避	挖矿进程名为solrd，试图实现伪装solr服务
发现	通过扫描目标web服务信息以确认后续攻击方式
影响	solrd门罗币矿机模块不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。

四、腾讯云原生安全方案完美防御

政企客户部署的腾讯云原生安全产品（腾讯主机安全、腾讯云防火墙、腾讯云WAF应用防火墙）可完美防御z0miner挖矿木马最新变种的漏洞攻击。

腾讯主机安全（云镜）

腾讯主机安全（云镜）支持对感染云主机的病毒木马进行查杀处理，通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测，可最大限度提升云主机的安全防护能力，腾讯主机安全已支持对部分高危漏洞检出后一键修复。

如下图所示：腾讯主机安全告警日志显示多台云主机存在Weblogic未授权命令执行漏洞，安全运维人员可根据主机安全的提示安装补丁修复漏洞，即可消除威胁。

腾讯云防火墙

腾讯云防火墙支持对z0miner挖矿木马利用的多种漏洞攻击进行拦截阻断，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用，使用虚拟补丁机制可避免重启服务器，部分高危漏洞即使因某些原因未能及时安装补丁，腾讯云防火墙也可进行有效防护。

下图示例为腾讯云防火墙拦截阻断利用Nexus3命令执行漏洞（CVE-2019-7238）对云主机的攻击。

腾讯云防火墙可配置高危事件发生时，发送短信通知运维人员及时处置。本文开头的案例为云防火墙发出高危事件告警短信，报告发现Struts漏洞利用，危险等级为“高危”，提醒安全运维人员及时登录云防火墙控制台处置风险。运维人员还可以配置云防火墙入侵防御功能的“防护模式”为“拦截模式”，即可实现自动阻断入侵活动。

腾讯云WAF应用防火墙

腾讯云 Web 应用防火墙（Web Application Firewall，WAF）可以帮助公有云用户应对各种 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护等问题。

腾讯云WAF应用防火墙支持对z0miner挖矿木马利用的所有漏洞进行检测防护：

IOCs

MD5
373b018bef17e04d8ff29472390403f9
f57c6793cc0a56e5f083e6c6d91a1570
26a91e9a94c7f8d966de1541095a3d92
a41fdef829c327425a2c809df1033790
812305bb8fc9009d12ae8d0ec7c02d2c

IP
27.1.1.34

URL
hxxp://27.1.1.34:8080/docs/nexus.txt
hxxp://27.1.1.34:8080/docs/conf.txt
hxxp://27.1.1.34:8080/docs/solr.sh
hxxp://27.1.1.34:8080/docs/st2.txt

参考链接：

z0Miner挖矿木马利用Weblogic最新漏洞入侵5000台服务器

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：腾讯云原生安全产品成功防御z0miner挖矿团伙利用多种漏洞对云主机的攻击