一、起因
某次hvv行动中,前期打点过程中发现目标单位某系统Web目录存在可疑文件,发现与远程服务器建立通信并下载可疑bat文件,在X情报社区查询了下该IP发现为臭名昭著的RunMiner挖矿木马团伙。
该黑产组织具有较强的lou dong武器化能力,此前腾讯安全曾披露过其利用Shiro以及Weblogic相关lou dong进行攻击,攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马,并且会在获取权限的第一时间干掉其他挖矿以及云上相关防护Agent。
二、经过
时隔几个月后又在同样的Web应用中发现RunMiner的身影,通过fofa对国内著名OA系统--某远OA 扫描探测发现,该团伙已经实现对某远OA系统普通用户RCE组合lou dong以及ajax.do接口文件上传lou dong批量武器化利用,仅在一个省份测试访问该文件,发现该省存在loudong的系统均已沦陷。
“某远OA”在我国使用范围较广,且涉及政企、能源、医疗、教育等重要关键基础设施单位。
具体手法通过文件上传在该OA系统Web目录下上传jsp文件,随后该jsp文件首先获取计算机用户名,随后远程下载bat文件到指定文件夹下,随后执行该bat文件,发现该bat文件在今年七月以经有人上传到微步云沙箱。
下载样本发现
与年初挖矿手法类似
加入了一些隐藏手段会删除包含挖矿程序的进程日志以及服务日志
IOCs
IP:146.196.83.217
URL:
http://146.196.83.217:29324/yygic/core.exe
http://146.196.83.217:29324/yygic/coreTask.bat
矿池&钱包
xmr.f2pool.com:13531
46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj
三、最后
排查某远Web目录下是否包含ncrun.jsp文件
/Seeyon/A8/ApacheJetspeed/webapps/seeyon/common/designer/pageLayout/ncrun.jsp
排查文档目录下是否存在
C:\Users\"+name+"\Documents\coreTask.bat
%USERPROFILE%Documentscorecore.exe
尽快更新最新系统,20到21年hvv常用利洞 懂得都懂
原文始发于微信公众号(红队ing):RunMiner黑产团伙针对国内新动向
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论