RunMiner挖矿团伙新增漏洞武器:利用Weblogic反序列化漏洞(CVE-2017-10271)攻击主机挖矿

2021-01-19 11:29:30
腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿: 利用weblogic反序列化漏洞(CVE-2017-10271)对云主机发起攻击,攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马,进行门罗币挖矿操作。

一、概述

腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿: 利用weblogic反序列化漏洞(CVE-2017-10271)对云主机发起攻击,攻击成功后执行恶意脚本对LinuxWindows双平台植入挖矿木马,进行门罗币挖矿操作。

RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件,并尝试结束其他占系统资源较高的进程,以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能,干扰政企机构正常业务运行。

腾讯云防火墙检测到weblogic反序列化漏洞(CVE-2017-10271)攻击利用的日志


提取云防火墙流量日志,可复现漏洞攻击利用成功后,系统被植入XMR挖矿木马(tcpp矿机)


RunMiner挖矿木马团伙是非常活跃的黑产组织,该组织擅长利用各种漏洞武器入侵存在漏洞的系统,植入木马,控制远程主机挖矿。202012月,腾讯安全曾捕获该组织利用Apache Shiro反序列化漏洞(CVE-2016-4437)攻击控制约1.6万台主机挖矿(https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ)。

排查加固:

腾讯安全专案建议weblogic组件存在漏洞,可能遭受漏洞影响的用户对以下条目进行排查,及时检查、清除是否已被植入挖矿木马。

文件:

Linux:

/tmp/tcpp

Windows:

%USERPROFILE%\Documents\debug\debug.exe

%USERPROFILE%\Documents\debug.bat

进程:

Linux:

tcpp

Windows:

Debug.exe

定时任务:

Linux:

/var/spool/cron/`whoami`

Windows:

%systemroot%\System32\Tasks\SystemProcessDebug

%systemroot%\Tasks\SystemProcessDebug

加固:

腾讯安全专家建议受影响的用户尽快升级Weblogic组件到最新版本,腾讯安全全系列产品支持在各个环节检测、防御RunMiner挖矿木马对云上主机的攻击。


详细响应清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)威胁情报已加入,可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1RunMiner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生

安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量:

1)RunMiner相关联的IOCs已支持识别检测;

2)RunMiner利用weblogic反序列化漏洞(CVE-2017-10271)发起的恶意攻击以支持识别检测,阻断;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持RunMiner关联模块的检测告警,查杀清理。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)RunMiner相关联的IOCs已支持识别检测;

2)RunMiner利用weblogic反序列化漏洞(CVE-2017-10271)发起的恶意攻击以支持识别检测

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 iOA

1)已支持RunMiner关联模块的检测告警,查杀清理。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html



二、样本分析

攻击者通过扫描外网开放weblogic服务的机器,尝试使用weblogic反序列化漏洞(CVE-2017-10271)进行攻击,未修补漏洞的主机被攻击后会进一步执行

hxxp://146.196.83.217:29324/xxgic/run.sh内的恶意脚本,run模块内代码执行后,会尝试结束AliYunDun相关进程,进一步拉取task.sh执行,同时将task模块恶意代码写入定时任务。


task模块恶意代码执行后,首先获取系统内的高CPU占用进程将其进行结束,目的为方便后续挖矿模块可充分利用主机CPU性能进行独占挖矿。并下载到tmp目录tcpp矿机启动,使用钱包地址:

46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj


tcppxmr矿机,执行后占用CPU资源进行挖取门罗币


对恶意模块存放IP地址进一步溯源可知,该地址内同时存放了用于攻击Windows平台后的利用脚本(hxxp://146.196.83.217:29324/xxgic/debugProcess.bat)。


该脚本执行后将进一步在文档目录创建名为debug的隐藏属性文件夹,并进一步下载debug.bat模块到该目录执行。


Debug.bat则会进一步拉取名为hxxp://146.196.83.217:29324/xxgic/xm.exe的矿机模块到Debug/Debug.exe目录执行,同时创建名为SystemProcessDebug的定时任务用于持久化挖矿



其最终投递载荷xm.exe模块同样为门罗币矿机


IOCs

MD5:
334e8411392d0577aa172ce18c1fc7c1

ef2d9270085b7c0cfa3c56aff4a5c928

ec52d049f102c021ba9e5cce927ca741

d379dbd42a0b3b4d00fce05d9617c047

a49818ba85c1b604890965e722e8848a

ec9470e5027db031062ae2e3186ef824

URL:

hxxp://146.196.83.217:29324/xxgic/run.sh

hxxp://146.196.83.217:29324/xxgic/task.sh

hxxp://146.196.83.217:29324/xxgic/tcpp

hxxp://146.196.83.217:29324/xxgic/debug.bat

hxxp://146.196.83.217:29324/xxgic/debugProcess.bat

hxxp://146.196.83.217:29324/xxgic/debug.exe

IP:

146.196.83.217

矿池&钱包

mine.c3pool.com

46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯