长按二维码关注
腾讯安全威胁情报中心
摘要
本次攻击具备以下特点:
1.利用Docker Remote Api未授权命令执行漏洞攻击云主机;
2.利用SSH爆破、Redis未授权写计划任务等方式呈蠕虫式传播;
3.尝试卸载云主机安全软件,尝试结束、清除竞品挖矿木马;
4.劫持ps,top,pstree等系统工具隐蔽挖矿;
5.改写authorized_keys设置免密登录后门;
6.读取主机历史ssh登录信息尝试登入并植入恶意脚本执行。
一、概述
腾讯云防火墙检测到有攻击者利用Docker Remote Api未授权命令执行漏洞攻击云主机,攻击成功后会投递挖矿木马,该团伙的攻击活动已影响上千台云主机。本次攻击活动会利用多个漏洞进行蠕虫化扩散,失陷服务器因攻击者添加登录后门已被完全控制,我们根据木马下载资源的路径名将其命名为Cleanfda挖矿木马。
失陷主机在发起蠕虫攻击和挖矿活动时存在系统资源耗尽风险,这将严重影响云主机正常业务运行。Cleanfda木马攻击控制云主机之后,会进一步尝试使用SSH爆破、Redis未授权写计划任务等方式攻击传播,若企业服务器配置不当,将存在前述漏洞的服务器暴露在互联网,可能成为蠕虫攻击的牺牲品。
腾讯安全专家指出,由于攻击者会在被控系统留置后门,可以随时远程登录,失陷系统不仅存在信息泄露风险,还存在被攻击者下载运行勒索病毒等更严重的风险。腾讯安全专家建议企业安全运维人员及时排查清除木马威胁。
腾讯云防火墙、腾讯云主机安全系统均支持对Cleanfda挖矿木马攻击传播的各个环节进行检测拦截。
排查与加固
腾讯安全专家建议政企用户使用腾讯主机安全产品进行文件扫描,或排查以下条目:
文件
/etc/zzh
/tmp/zzh
/etc/strace
/tmp/strace
/tmp/hxx
/tmp/ps
排查ps,top,pstree等工具文件是否被替换。
进程
排查清理以下可疑进程
zzh
strace
pnscan
masscan
hxx
启动项&后门账户
1.清理包含可疑IP,*init*相关的计划任务,例如下案例:
*/40 * * * * root sh /etc/newinit.sh >/dev/null 2>&1
2.清理排查恶意的免密登录后门配置项,例如下案例:
AAAAB3NzaC1yc2EAAAADAQABAAABgQC3QgqCevA1UIX9jkWJNzaDHmCFQMCVn6DlhT8Tj1CcBLouOPpuBVqGoZem9UT/sdy563H+e1cQD6LRA9lgyBO8VBOuyjlPf/rdYeXZRv9eFZ4ROGCOX/dvNzV9XdEyPX+znEL4AS45ko0obSqNGbserHPcKtXBjjcf9zWtRvBA4lteyXENWeCST61OhVI0K7bNTUHsQhFC0rgiGFqVv+kIwMVauMxeNd5PjsES4C5P9G8Ynligmdxp7LdOFeb5/V/iO8eceQsxLyXVCe2Jue5gaaOIbKy2j2HPxj6qK2BUqlx+dJdat6HE2HyPWDKD5jPyA5RCSs1zphe7BQjH20cX1nyzbhxNNQncs5BfB0kk2Qcb9IS/ofX9p8zIVKLUHMUNC9mKqPljzxH/3wYnOZrgebS4uwfyad+6SQ1oRfs1vWotXxSz1hBjhRPpUqzA7J865AcSOZBaoRsRKZ1BaGMyJyjIfkecFgeDpmbHzOzCjIXAeh20S2wLYZGdrhgVEr0=
系统加固建议:
1.建议安全运维人员配置Docker swarm服务端口不要暴露在公网,修改Docker swarm的认证方式,可以使用TLS认证。
2.建议Redis 服务端口不要暴露在公网,使用强口令。
3.配置SSH服务使用强口令。
二、腾讯安全解决方案
Cleanfda挖矿木马相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。
腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。
腾讯云防火墙已支持对Cleanfda挖矿木马利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断DOCKER Remote Api未授权访问漏洞攻击进行攻击利用。
私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Cleanfda挖矿木马发起的恶意攻击行为。
私有云客户可通过旁路部署腾讯天幕(NIPS)实时拦截Cleanfda挖矿木马的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
三、详细分析
腾讯云防火墙监测到cleanfda挖矿木马利用Docker Api未授权命令执行创建容器,并进一步下载执行名为trace的门罗币挖矿木马。经进一步分析,当前活跃cleanfda挖矿木马恶意载荷当前主要托管在以下3个恶意IP地址内(47.114.157.117,45.133.203.192,194.87.139.103)。
分析该挖矿木马其它恶意载荷,涉及多个恶意sh脚本(init.sh,is.sh,rs.sh),具备常见挖矿木马的多重行为属性。例如:会尝试卸载云主机安全软件,尝试结束清除其它竞品挖矿木马。
该挖矿木马还会尝试对ps,top,pstree等系统工具进行重命名和替换,进而通过劫持工具运行参数的方式,实现隐蔽挖矿。
通过改写authorized_keys设置免密登录后门
读取主机历史ssh登录信息尝试登入并植入恶意脚本执行
该挖矿木马具备蠕虫性质,木马首先会下载编译pnscan,masscan扫描工具。下载名为hxx的ssh爆破工具以及名为ps的弱口令字典,字典当前具有5652条账号密码信息。
脚本最终调度下载好的扫描、爆破、字典工具展开ssh爆破入侵,Redis未授权写计划任务入侵流程。使该挖矿木马呈蠕虫式扩散。涉及到的redis弱密码有以下部分:
redis
root
oracle
password
p@aaw0rd
abc123
abc123!
123456
admin
攻击者最终利用失陷云主机运行xmr门罗币矿工程序
所用矿池:
xmr.f2pool.com
钱包:
etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4
87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv
四、威胁视角看攻击行为
|
ATT&CK阶段 |
行为 |
|
侦察 |
扫描端口,确认可攻击目标存在的SSH,Redis,docker等服务 |
|
资源开发 |
注册C2服务器 |
|
初始访问 |
利用对外开放的SSH,Redis,Docker服务,未授权情况下植入恶意命令执行恶意命令进而入侵系统 |
|
执行 |
利用漏洞植入恶意命令,随后下载植入pnscan,masscan,sshbru进行扫描爆破蠕虫扩散,同时执行挖矿模块 |
|
持久化 |
通过写crontab实现持久化驻留 |
|
防御规避 |
挖矿进程名为trace,试图实现伪装系统工具进程。通过对ps,top,pstree的重命名替换劫持意图隐藏挖矿过程中的恶意模块进程 |
|
发现 |
通过扫描目标开放端口信息以确认后续攻击方式 |
|
影响 |
驻留的免密登录后门将给服务器带来不可预料的各类型网络风险,蠕虫功能,门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 |
IOCs
Md5:
7fe93cabeb10c6c8ed414ef8ca479588
f0551696774f66ad3485445d9e3f7214
859fbbedefc95a90d243a0a9b92d1ae9
d138c74fb95be4cb69559f4fb2f5850c
4f6a3d06bfc5da004deb5959131e05c1
IP:
47.114.157.117
45.133.203.192
194.87.139.103
Url:
hxxp://47.114.157.117/cleanfda/zzh
hxxp://47.114.157.117/cleanfda/is.sh
hxxp://47.114.157.117/cleanfda/init.sh
hxxp://47.114.157.117/cleanfda/trace
hxxp://45.133.203.192/cleanfda/zzh
hxxp://45.133.203.192/cleanfda/newinit.sh
hxxp://45.133.203.192/cleanfda/pnscan.tar.gz
hxxp://45.133.203.192/b2f628fff19fda999999999/1.0.4.tar.gz
hxxp://45.133.203.192/cleanfda/init.sh
hxxp://45.133.203.192/cleanfda/config.json
hxxp://45.133.203.192/cleanfda/is.sh
hxxp://45.133.203.192/cleanfda/rs.sh
hxxp://45.133.203.192/cleanfda/call.txt
hxxp://194.87.139.103/cleanfda/ps
hxxp://194.87.139.103/cleanfda/hxx
hxxp://py2web.store/cleanfda/zzh
hxxp://py2web.store/cleanfda/newinit.sh
矿池:
xmr.f2pool.com
钱包:
etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4
87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):腾讯云防火墙截获Cleanfad挖矿木马对云主机的攻击,攻击者可完全控制失陷系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论