作者:calmness
-
某大型上市安全公司项目经理兼技术经理
-
弥天安全实验室核心成员、炎黄安全实验室创始人
-
研究方向:渗透测试、溯源反制、项目管理、安全体系建设
注明:本分析过程联合各大厂商所完成
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
2020年12月初,国内云安全中心首次发现新型挖矿病毒Sysrv-hello并提供了防御和处理该病毒的解决方案。
国内云安全中心,针对云上海量样本进行持续监控,对奇异样本进行自动捕获标定和分析。2020年12月初,发现一例具有持久化功能的样本,该样本与此前已知程序文件的特性存在较大差异,经过云安全中心专家团队分析,该样本为一款新型挖矿支持组件,且处在爆发初期。鉴于该样本的特征路径以及特征代码,暂时将其命名为Sysrv-hello。
攻防演习期间,开展的安全运维保障工作的过程中,利用主动防御体系成功捕获一起尚在爆发初期的“Sysrv-hello”黑产攻击事件。进行非法攻击破环业务系统:Sysrv-hello组织利用ThinkPHP漏洞攻陷了国家重点扶持的德胜和乳业业务系统,利用挖矿病毒脚本尝试对蜜罐系统进行远程命令执行、未授权访问等相关攻击,并尝试感染主机。我方捕获该攻击后,对该事件进行溯源取证,反控肉鸡并捕获病毒样本,并溯源到团伙信息,已对该攻击事件进行处置。
攻击者触碰了蜜罐产品从而捕获了相关信息;利用威胁情报对攻击IP(121.1.1.1)进行查询,为杭州阿里的云服务器,反查域名为www.xjdesnge.com,标签为垃圾邮件、漏洞利用、溯源 。
扫描端口发现开放80端口,访问发现为国家重点推广养殖基地——新疆德盛和乳业的官网,初步怀疑该服务器为傀儡机。
新疆德盛和乳业官网
1. 攻击反制
对攻击服务器进行漏洞利用,通过ThinkPHP 5代码执行漏洞获取该服务器权限进一步追踪溯源。
ThinkPHP RCE攻击图
对该服务器的网络进行监听,发现名为miiuxfnjb的进程发起大量连接请求,统计共有9878条异常连接。
异常连接图
对miiuxfnjb进程排查,是由www-data用户在/home/fanliang/workspace/dsh/public/static/admin/umeditor/miiuxfnjb路径下运行,www-data用户运行的任务还有kthreaddi,该进程命名特征疑似挖矿进程,遂对miiuxfnjb和kthreaddi进程进行分析。
进程分析图
到miiuxfnjb和kthreaddi的运行目录位置下载进程样本,但文件已被删除无法直接获得。
样本位置图
2.内存提取病毒样本
由于进程运行文件已被删除无法直接获取,我们通过内存拷贝的形式将运行的进程复制打包到临时目录。
将miiuxfnjb从运行内存中提取到临时目录:
miiuxfnjb样本图
将kthreaddi从运行内存中提取到临时目录:
kthreaddi样本图
3. 病毒样本分析
将得到二进制文件进行逆向分析和沙箱仿真分析。
1) miiuxfnjb样本分析
样本信息
样本名称:miiuxfnjb
样本类型:ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
样本大小:4097840
MD5:1cc8dfbcab6d59734c39a8eaae4998fa
SHA256:
7ff5f2b3145d1e54a84f5bcc13ae6838baac2d6c20951d19608166833753d96f
UPX去壳
使用UPX 3.9.6进行加壳,增加反编译难度。
样本内容图
使用UPX去壳工具进行去壳。
样本去壳图
反病毒引擎检出情况
多个反病毒引擎检出BitCoinMiner,由此判断为灰黑产挖矿脚本,具体检出情况如下:
表二
至此,我们可以确认此次攻击并非攻击队行为,而是由灰黑产挖矿病毒发起攻击。
病毒主要行为分析
初始化和准备阶段,样本运行时首先会监听本地的 51969 端口,此端口作为互斥量,防止自身重复启动;
本地样本监听图
(2)关闭防火墙和PC监控;
关闭防火墙图
(3)删除其他挖矿脚本;
删除挖矿脚本图
(4)释放挖矿脚本到tmp目录下的随机文件夹内,命名为kthreaddi,并将其进行删除;
删除kthreaddi样本图
(5)利用计划任务实现持久化驻留;
计划任务之持久化图
(6)自我更新,如果有最新版本,将结束旧进程重新下载最新病毒并执行;
病毒样本图
(7)加载内置模块进行扩散传播;
加载内置模块图
病毒传播方式
(1)利用服务器SSH密匙进行横向移动。
SSH横向移动图
(2)内置端口扫描、漏洞探测、漏洞利用模块,首先随机生成ip,从准备好的目标端口内选择一个进行扫描探测,使用到的端口有:80,81,443,5001,7001,8000,8079,8080,8081,8088,8090,8443,8888,8983,9001,9999,然后对不同的端口进行针对性payload攻击,在漏洞利用前先会确认漏洞是否存在,如果漏洞存在将植入shell脚本执行,从而实现更广泛的传播。脚本地址:http://194.145.227.21/ldr.ps1 、http://194.145.227.21/ldr.sh、 http://194.145.227.21/sys.exe 、http://194.145.227.21/sys.x86_64。
CVE攻击图
监听连接图
样本使用到的payload列表如下:
表三
payload图
2) kthreaddi样本分析
基本信息
挖矿脚本名称:kthreaddi
脚本类型:elf_64_so_x64_little
MD5:6db4f74c02570917e087c06ce32a99f5
SHA256:67e38438759f34eaf50d8b38b6c8f18155bcc08a2e79066d9a367ea65e89aa3d
挖矿脚本分析
通过对miiuxfnjb样本的分析可得,kthreaddi为miiuxfnjb释放的挖矿脚本,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放挖矿脚本到tmp目录下的随机目录内,并将其运行,随后会将本地挖矿脚本进行删除。
miner图
释放挖矿配置文件config,包含矿池地址和钱包地址。
配置文件图
矿池及钱包地址图
反查IP信息图
查看该用户的钱包余额以及过去提现记录得出,满1个门罗币就会体现,提现周期在慢慢缩短,该僵尸网络在日益庞大。
门罗币图
XMR图
使用到的是目前市面上最流行、通用性最好、支持算法最多的挖矿软件xmrig,版本为6.4.0,币种为门罗币。
3) ldr.ps1样本分析
根据得到的ldr.ps1脚本可以得出,当前Sysrv-hello僵尸网络病毒版本为sysrv013,之前发行过17个病毒版本分别为:network01, network001, network002, kthreaddi, sysrv, sysrv001, sysrv002, sysrv003, sysrv004, sysrv005, sysrv006, sysrv007, sysrv008, sysrv009, sysrv010, sysrv011, sysrv012, sysrv013。
sysrv013版本信息图
4)IOC
51.15.78.68
51.15.58.224
194.145.227.21
xmr-eu1.nanopool.org
6db4f74c02570917e087c06ce32a99f5
1cc8dfbcab6d59734c39a8eaae4998fa
至此攻击溯源结束,本次攻击为灰黑产组织的肉鸡造成,肉鸡IP为121.1.1.1 ,运营商为阿里云服务器,该服务器归属于国家重点推广养殖基地——德盛和乳业。在成功反制该服务器后我们得到病毒样本,经过分析,该病毒样本归属于Sysrv-hello僵尸网络,属于一款新型挖矿支持组件且处在爆发初期。
-
攻击者组织属性:黑产挖矿组织
-
攻击者个人属性:代号“K”,集木马、后门、蠕虫于一身
-
使用的攻击工具:ThinkPHP漏洞利用工具、PE进程管理工具、免杀工具、穿透工具、门罗币矿机、CVE相关爆破工具、代码执行工具等;
-
拥有的攻击设施:僵尸主机
-
网络活动规律:活跃度高、自然传播、不易察觉
-
攻击手法及特点:弱密码爆破、无文件攻击、未授权访问、RCE攻击、服务弱口令探测、增量端口扫描、多CVE组合攻击等;
攻防演习期间,开展的安全运维保障工作的过程中,利用主动防御体系成功捕获一起尚在爆发初期的“Sysrv-hello”黑产攻击事件,涉及国家重点扶持项目、国内多台云服务器,通过溯源反制、内存提取获取到最新样本v13,包含16种组合漏洞攻击,迭代频繁,繁衍迅速,潜在危害极大。限于情报合作的互联网大厂均未有新样本v13相关情报,安全团队随即展开了最新样本的分析及背后团伙的画像工作:1)黑产挖矿,门罗币,多特性并存,兼具蠕虫、木马、后门等行为;2)跨平台传播性强,影响windows、linux系统;3)C2 ip主要在国外,包括荷兰、美国、乌克兰等国;4)增长迅速,涉及门罗币top4矿池中3个。依据常规流量行为分析平台和情报共享机制,在30分钟内快速完成了对该事件的初步分析、处置及情报共享,并在后续依托自己研发的情报数据、与各大互联网安全厂商建立的合作生态,对V13变种进行二进制逆向、脱壳解密、病毒提取、追踪溯源、团伙分析及情报共享包括与警方沟通受害企业事宜。完善的闭环处置优势得以充分体现。
挖矿木马针对云上攻击增长较快,企业安全管理人员时刻面临新的挑战。黑灰产业对谋求非法利益的追求没有止境。受利益驱使,挖矿团伙对新漏洞武器的采用速度越来越快,这对防御方的安全响应能力提出了更高的要求。与此同时,众多网络组件的安全漏洞仍会源源不断涌现。
旧的挖矿僵尸网络依然活跃,新僵尸网络不断出现,模块化的、持续扩张、挖矿团伙跟僵尸网络相互勾结的情况日趋多见。这种复杂的安全态势使得政企机构难以采用单一技术方案防御和清除威胁。以我方此次发现的sysrv-hello家族为例,从其钱包走向以及特征进行分析,最终可总结如下图:
团伙活动规律图
可得知,该家族的横向能力极强,且目标模糊,目前活动轨迹显示足迹经过中国、美国、澳洲、欧洲等,主要以云服务器为目标,且从趋势来看,该家族病毒样本不断更新迭代,以后的攻击范围定会不断扩大,影响与危害也会越来越深远,这对政企以及我们所有人来说是一个严峻的挑战。
Sysrv-hello僵尸网络趋势图
(一) 当前形式
当前最新的变种族为我方捕获的13号变种族Sysrv013,探测端口有80,8090,8088,8888,8080,8000,443,8983,8081,9999,7001,9001,8079,8443,81,5001;使用以下漏洞进行攻击
以Sysrv013样本为例该家族病毒传播方式如下:
病毒传播图
传播范围极大,且从目前cve漏洞利用种类来看,还在不断增长中,以下为我方收集到的潜在受攻击应用的全球统计
全球潜在受害机器统计图
从以上数据我们可以观察,就数量上来看,不管是哪个应用或组件的漏洞利用,中国的网站以及服务器都很容易成为首要目标,而当今的现实情况也为如此,Sysrv-hello各样本不断更新迭代,中国所在地的服务器接连中招,包括没被发现的机器在内,这个数值很有可能已经达到了一个惊人的地步。
虽然说挖矿的危害直观来看仅仅只是停留在降低了服务器的效率,但毕竟是控制着大量的僵尸网络,只要攻击者有想法,随时可以发起大量DDOS攻击、窃取大量隐私信息、进行中间人攻击等,将每台机器都变为自己的武器,对受害者的业务、财产、人身甚至对社会都会造成一些不确定的影响。
关键基础设施已经成为网络安全核心战场,并且也深受挖矿病毒的青睐。国家关键信息基础设施是指关系国家安全、国家公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统和重要互联网应用系统等。
关键基础设施关系着国计民生,是经济社会运行的神经中枢,是网络安全的重中之重。随着经济社会对网络的依赖程度不断加深,关键信息基础设施安全防护更加紧迫。网络空间军事化、网络武器平民化、网络攻击常态化的态势日趋明显,关键信息基础设施已成为网络攻击的主要目标。
挖矿病毒的行业分布上,据前两年统计,不法分子更倾向于攻击制造业、能源、快速消费品等网络安全相对薄弱的企事业单位。值得注意的是,制造业占据所有行业的 47%。对于制造业来说,流窜的挖矿病毒不仅可能导致设备运行缓慢,而且还可能影响重要业务与数据的安全性。
行业分布比例图
本文始发于微信公众号(安世加):技术干货|“Sysrv-hello”分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论