sysrvhello 僵尸网络最新攻击活动分析

1

前言

2021年6月30号，举国上下喜迎建党一百周年，氛围满满！网络环境表面风平浪静，实则暗潮汹涌。微步在线研究人员最近发现 sysrvhello 僵尸网络的最新活动，它通过 JBoss 远程命令执行、Hadoop 未授权访问漏洞、Laravel 远程代码执行等漏洞传播，对互联网环境影响较为严重。微步在线主机威胁检与测响应平台 OneEDR（以下简称 OneEDR ）界面的告警信息在警惕我们维护网络安全时刻不能松懈！

2

事件起因

2021年6月30号下午，雷声、雨声、风声和告警信息搅和在一起，真是太可怕了。在 OneEDR 主机告警界面出现2条告警信息，分别是系统内部伪装成内核模块进程名的恶意进程，以及有可疑进程外连恶意软件（194.145.227.21）。

3

告警排查分析

3.1 告警详情分析

在左侧菜单栏首页下主机列表中点击第一条告警信息，查看详情可以得知，系统内部伪装成内核模块进程名的恶意进程 l48wzb 与恶意软件情报IP 194.145.227.21 进行了通信。

经排查 OneEDR 日志得知，主机通过访问http://194.145.227.21下载了ldr.sh。

同时，查看 json 数据，识别出下载请求的 UserAgent 为 cve_2017_12149。

如下图所示，点击查看流程图发现， l48wzb 木马进行自我复制（kthreaddi），经发现木马与 Cron 计划任务有关联，说明木马是由计划任务启动的，存在恶意的计划任务，以及执行了 netstat 、xargs 等命令。初步判定是为了加强自身隐蔽效果，防止被完全查杀。

该恶意计划任务每分钟执行一次。

3.2 攻击原因排查

登录服务器后，经排查，这台主机的其他用户日志无异常信息，也无 SSH 爆破成功入侵行为，该主机除了 JBoss 应用外没其他应用服务。之后访问这台主机（IP：8080）的 JBoss 主页面，发现应用服务都出现了故障。

查看 JBoss 日志（jboss/server/default/log/server.log），发现 /invoker有报错信息 。

同时，使用 # history 排查历史命令发现含有1条危险的命令；

使用 # ps -ef|grep l48 查看相关进程,在 OneEDR 告警界面也显示了可疑进程pid为10420；

使用 # ll /proc/10420/exe 命令发现可疑进程被执行后删除了，可以先恢复 # cat /proc/10420/exe > /home/jboss/1 这个进程；

根据刚才的 OneEDR 告警信息显示存在定时任务，这里是每分钟执行一次 kwfro9 任务。虽然跟 OneEDR 检测到的进程名 l48wzb 不一样，是因为木马复制自身随机命名的原因（后面会提到），但是它的创建时间是2021-06-30 14：09，与检测到的时间一致，MD5 也一致。

#crontab -l

# ll /usr/local/jboss/docs/examples/jmx/mbean-configurator.sar/org/jboss/jmx/examples/configuration/   

检验 MD5

#md5sum 1 kwfro9  

(D87F84D6C9B3ABC288B82AB1B745590A)

4

样本分析

通过分析 ldr.sh（d5c0f3993bb246c7c1f643c322da444f）可知，它首先执行了时间 MD5 校验、清除历史命令、禁用防火墙、清空防火墙规则、清除 /etc/hosts 的挖矿域名解析。根据 /etc/passwd 的输出来判定用户的目录，先判定/tmp、/var/tmp、/dev/shm、/usr/bin、/root中的一个文件夹是否存在。如若存在，则下载木马（主要为了方便在各种不同的主机下载木马），执行后并删除文件。

为了保障自身的利益最大化，清除竞品、杀掉其他进程，比如扫描、其他挖矿程序等。让自身独占受害主机，卸载安全服务，这也是老僵尸网络常用的手法。

拿刚还原的木马 /home/jboss/1 （D87F84D6C9B3ABC288B82AB1B745590A）进行动静态结合分析。

执行木马后，首先它会提示一段俄文（俄文的意思为‘扫描’），它会以随机命名的方式复制到随机目录，然后删除自身。

该木马首先会判断受害机用户的 id、uid 权限。

通过动态调试发现，该样本内嵌了 Sock5 代理，且会通过代理访问网站。

基于 base64 加密去执行相关的命令，可以拿 base64 的密文到相关网站去解密即可看到明文。

该木马会获取到受害主机的用户名以及其他信息。

该木马利用的漏洞包括 Hadoop 未授权访问漏洞、weblogic远程代码执行、worldpress 暴力破解、thinkphp 远程代码执行、Redis 远程代码执行、Jboss 远程代码执行、Laravel 远程代码执行、XXL-JOB executor 未授权访问漏洞。

这里可以看到编译样本的文件路径：/user/k/go/src/。

通过与其3月份的版本的对比，发现写法都差不多，是一个版本的更新。根据信息关联，可以确认为 sysrvhelo 挖矿，下图是 sysrvhello 3月份的版本。

网络通信分析：

运行 ldr.sh 后，首先向 C2 请求下载木马 sys.x86_64。

与 C2 的80端口通信，校验 MD5，加入 C2 的通信频道，互相确认在线状况。

受害主机会不断随机扫描外部主机（图为 Hadoop 未授权访问漏洞），如果扫到有漏洞的机器，则会自动化进行漏洞入侵并下载 ldr.sh，这样就形成了一轮新的感染。 

以下为 XMR 的挖矿通信特征 ，可以清楚的看到 XMR 的钱包地址以及 xmrig 的标识。

 

简易流程图如下:

 

5

信息关联

根据在网络数据中发现的钱包地址，在矿池查看它的收益，算力在4.5M左右。从目前看，这个钱包总收益为75个门罗币（黑客有可能还使用了其他钱包，最近的门罗币好像都跌了，可能走不上人生巅峰了）。

从蜜罐数据来看，该 ip 的有效攻击量为1563条，属于传播较为广泛的僵尸网络。

面对乌鸦坐飞机，只有魔法才能打败魔法。

6

总结与思考

6.1 事件总结

本次事件是通过 OneEDR 网络、文件等系统行为发现中的，OneEDR 在主机上运用了行为规则、智能事件聚合等技术手段，实现对木马入侵事件的精准发现，能发现已知或未知的威胁。通过 OneEDR 的智能关联功能，可了解到安全事件的上下文以及主机、账号、进程等信息，通过“进程链”快速掌握事件的影响范围以及事件的概括，从而精准溯源。

OneEDR 是一款专注于主机入侵检测的新型终端防护平台，通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段。充分利用 ATT&CK 对攻击全链路进行多点布控，全面发现入侵行为的蛛丝马迹。

6.2 事件思考

1、随着近几年5G物联网的迅速发展，物联网设备数量呈几何增长，物联网设备已经成为主要的攻击目标。

2、随着云服务的不断增多，使用各种应用服务的主机也会越来越多，这会让僵尸网络迅速增加自己的 bot。与此同时，黑客租用的是国外匿名廉价的 VPS，它不但成本低，而且溯源难度较高，所以，以后僵尸网络只会越来越多。

3、目前的僵尸网络以 DDoS 和挖矿的木马为主。

6.3 处置建议

1、清除定时任务并删掉里面涉及的文件；

2、清理并删除名为 /tmp/随机目录/kthreaddi；

3、把应用服务升级到最新的版本，切勿使用弱口令；

4、WordPress、Jenkins、Redis 等服务组件配置强密码；

5、非必须的情况下，不对外开放 Redis 端口。

- END -

公众号内回复“sys”，可获取完整版（含IOC） PDF 版报告。

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载，请微信后台留言：转载+转载平台

2. 内容引用，请注明出处：以上内容引自公众号“微步在线研究响应中心”

本文始发于微信公众号（微步在线研究响应中心）：sysrvhello 僵尸网络最新攻击活动分析