刚赶走勒索病毒，又来挖掘木马（漏洞预警）

背景：

   

      普华永道擎天安全实验室监测到近期互联网爆发大规模的挖矿木马攻击，多家金额及事业单位已中招。不同于之前两次勒索病毒事件（“5.12WannaCry”勒索病毒及6.28勒索软件新变异病毒）的简单粗暴的勒索方式，挖掘木马却会隐藏在计算机所有安全性脆弱的角落，偷偷的消耗计算机的资源，达到挖取比特币获利目的。另外，挖掘木马隐藏性极强及种类繁多，常常使管理员难以及时标标发现探矿木马的存在，导致企业内部大量服务器被入侵而无法知晓。

挖掘木马攻击的原理：

      经普华永道擎天安全实验室的分析，本次攻击的挖掘木马被大量黑客进行了多种漏洞结合，除了利用之前的Strust2漏洞外，还结合Java反序列（如Weblogic/Tomcat/Jboss）、CVE-2017-5638（Apache Struts Jakarta Multipart Parser attack）及CVE-2017-9822（DotNetNuke (DNN) content management system vulnerability）。

      攻击始在互联网上大规模对所有Ipv4进行全网络扫描，通过Apache Struts/Weblogic/Tomcat/Jboss等应用漏洞直接植入挖掘木马程序，它会通过TCP端口主动向远程服务器请求木马程序，或无法进行下载时，通过使用系统“curl”和“wget”工具下载挖掘所需工具，后续上传内部服务器数据至远程服务器，在运行挖掘木马时，会进行进程的伪装及加载漏洞攻击脚本对内网服务器进行攻击，以便获取更多肉机进行挖掘。

 

挖掘木马的案例分析：

       互联网常用的挖掘木马常存放于/tmp文件下，定期会自动运行该木马，并与外网IP地址建立相互通讯，同时会不断伪装成其它正常进程，当挖掘木马进程运行时，会占用服务器大量CPU性能进行挖掘行为，以致服务器CPU涨至100%，而常常被当作正常进行对待。

      下图为某一Weblogic存在漏洞，被黑客植入挖掘木马，并该文件存放于/tmp下，管理员仅是删除进程和目录下木马，是无法解决问题的，由于真实的挖掘木马已伪装成其它程序名，需要对系统进行全盘安全检查，方可找出。

 

应对建议：

目前优先处理步骤如下：

1、删除后门文件：

1）查看 /etc/crontab，看是否有被写入异常定时任务，如果有的话删除掉。

2）查看 /var/spool/cron/root， /var/spool/cron/wmp 和 /var/spool/cron/crontabs/root 中是否被写入了异常定时任务，如果有的话删除掉。

3）删除 /opt/或/tmp 下的异常文件，及Kill掉异常的进程，同时rm掉所有相关文件（可使用find）

2、开启内部防火墙：

关闭挖掘木马外网域名与外网IP通信

3、关闭不必要对外的端口：

4、查看是否有异常用户及修复密码

1）查看 /etc/passwd ，看是否有新添加的异常账户；

2）修改用户及密码

5、升级中间件；

6、处理完上述后进行重启

7、持续监控

本文始发于微信公众号（赛博星人）：刚赶走勒索病毒，又来挖掘木马（漏洞预警）