产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
RunMiner挖矿团伙新增漏洞武器:利用Weblogic反序列化漏洞(CVE-2017-10271)攻击主机挖矿
2021-01-19 03:29:30
一、概述
腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿: 利用weblogic反序列化漏洞(CVE-2017-10271)对云主机发起攻击,攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马,进行门罗币挖矿操作。
RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件,并尝试结束其他占系统资源较高的进程,以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能,干扰政企机构正常业务运行。
腾讯云防火墙检测到weblogic反序列化漏洞(CVE-2017-10271)攻击利用的日志
提取云防火墙流量日志,可复现漏洞攻击利用成功后,系统被植入XMR挖矿木马(tcpp矿机)
RunMiner挖矿木马团伙是非常活跃的黑产组织,该组织擅长利用各种漏洞武器入侵存在漏洞的系统,植入木马,控制远程主机挖矿。2020年12月,腾讯安全曾捕获该组织利用Apache Shiro反序列化漏洞(CVE-2016-4437)攻击控制约1.6万台主机挖矿(https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ)。
排查加固:
腾讯安全专案建议weblogic组件存在漏洞,可能遭受漏洞影响的用户对以下条目进行排查,及时检查、清除是否已被植入挖矿木马。
文件:
Linux:
/tmp/tcpp
Windows:
%USERPROFILE%\Documents\debug\debug.exe
%USERPROFILE%\Documents\debug.bat
进程:
Linux:
tcpp
Windows:
Debug.exe
定时任务:
Linux:
/var/spool/cron/`whoami`
Windows:
%systemroot%\System32\Tasks\SystemProcessDebug
%systemroot%\Tasks\SystemProcessDebug
加固:
腾讯安全专家建议受影响的用户尽快升级Weblogic组件到最新版本,腾讯安全全系列产品支持在各个环节检测、防御RunMiner挖矿木马对云上主机的攻击。
详细响应清单如下:
应用场景 |
安全产品 |
解决方案 |
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 |
1)RunMiner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生 安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)RunMiner相关联的IOCs已支持识别检测; 2)RunMiner利用weblogic反序列化漏洞(CVE-2017-10271)发起的恶意攻击以支持识别检测,阻断;
有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)云镜已支持RunMiner关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持: 1)RunMiner相关联的IOCs已支持识别检测; 2)RunMiner利用weblogic反序列化漏洞(CVE-2017-10271)发起的恶意攻击以支持识别检测 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
腾讯T-Sec 零信任无边界 访问控制系统 (iOA) |
1)已支持RunMiner关联模块的检测告警,查杀清理。
零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html |
二、样本分析
攻击者通过扫描外网开放weblogic服务的机器,尝试使用weblogic反序列化漏洞(CVE-2017-10271)进行攻击,未修补漏洞的主机被攻击后会进一步执行
hxxp://146.196.83.217:29324/xxgic/run.sh内的恶意脚本,run模块内代码执行后,会尝试结束AliYunDun相关进程,进一步拉取task.sh执行,同时将task模块恶意代码写入定时任务。
task模块恶意代码执行后,首先获取系统内的高CPU占用进程将其进行结束,目的为方便后续挖矿模块可充分利用主机CPU性能进行独占挖矿。并下载到tmp目录tcpp矿机启动,使用钱包地址:
46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj。
tcpp为xmr矿机,执行后占用CPU资源进行挖取门罗币
对恶意模块存放IP地址进一步溯源可知,该地址内同时存放了用于攻击Windows平台后的利用脚本(hxxp://146.196.83.217:29324/xxgic/debugProcess.bat)。
该脚本执行后将进一步在文档目录创建名为debug的隐藏属性文件夹,并进一步下载debug.bat模块到该目录执行。
Debug.bat则会进一步拉取名为hxxp://146.196.83.217:29324/xxgic/xm.exe的矿机模块到Debug/Debug.exe目录执行,同时创建名为SystemProcessDebug的定时任务用于持久化挖矿
其最终投递载荷xm.exe模块同样为门罗币矿机
IOCs
MD5:
334e8411392d0577aa172ce18c1fc7c1
ef2d9270085b7c0cfa3c56aff4a5c928
ec52d049f102c021ba9e5cce927ca741
d379dbd42a0b3b4d00fce05d9617c047
a49818ba85c1b604890965e722e8848a
ec9470e5027db031062ae2e3186ef824
URL:
hxxp://146.196.83.217:29324/xxgic/run.sh
hxxp://146.196.83.217:29324/xxgic/task.sh
hxxp://146.196.83.217:29324/xxgic/tcpp
hxxp://146.196.83.217:29324/xxgic/debug.bat
hxxp://146.196.83.217:29324/xxgic/debugProcess.bat
hxxp://146.196.83.217:29324/xxgic/debug.exe
IP:
146.196.83.217
矿池&钱包
mine.c3pool.com
46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
在线咨询
方案定制