产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

Sysrv-hello僵尸网络使用多种漏洞武器大量攻击Linux、Windows主机

2021-01-22 02:01:11

腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。

一、概述

Sysrv-hello僵尸网络挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。

该僵尸网络于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸网络已具有一定规模，对政企机构危害较大。

排查加固

文件：

Linux:

/tmp/network01

/tmp/sysrv

/tmp/flag.txt

Windows:

%USERPROFILE%\appdata\loacal\tmp\network01.exe

%USERPROFILE%\appdata\loacal\tmp\sysrv.exe

进程：

network01

sysrv

定时任务：

排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项

加固

Nexus，mysql，tomcat使用强密码

weblogic升级到最新版本

腾讯安全全系列安全产品具备在多个环节阻止该僵尸网络入侵扩散的能力

针对Sys-hello僵尸网络最新攻击活动的完整响应清单如下：

应用场景

安全产品

解决方案

威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）威胁情报已加入，可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）Sysrv-hello相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量：

1）Sysrv-hello相关联的IOCs已支持识别检测；

2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击；

3）支持检测mysql爆破攻击。

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 主机安全

（Cloud Workload Protection，CWP）

1）云镜已支持Sysrv-hello关联模块的检测告警，查杀清理。

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御界）

基于网络流量进行威胁检测，已支持：

1）支持识别、检测Sysrv-hello相关联的IOCs；

2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击；

3）支持检测mysql爆破攻击。

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

（iOA）

1）已支持Sysrv-hello关联模块的检测告警和查杀清理。

零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html

二、样本分析

腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击，下图为攻击过程中产生的恶意payload。

恶意payload执行后Nexus将添加名为t的task脚本执行任务，该任务触发执行后（“action":"coreui_Task","method":"run"...）进一步下拉恶意脚本执行，恶意脚本地址（hxxp://185.239.242.71/ldr.sh）

ldr.sh恶意脚本首先会尝试卸载云主机安全软件（aliyun，yunjing），停止部分服务(安全软件，挖矿木马)，同时删除部分docker挖矿镜像。

清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理)

尝试下载矿机命令执行，进程名为network01，矿池，钱包地址如下：

Pool.minexmr.com

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

xmr.f2pool.com

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行

最后将其自身写入计划任务，并删除本地相关对应文件

该木马不仅攻击Linux系统，同时发现针对Windows平台的恶意载荷，攻击Windows系统成功后会植入powershell恶意脚本，脚本会进一步拉取Windows平台的相同模块到tmp目录执行。

Linux系统下sysrv模块通过使用52013端口作为互斥量，端口开启状态判定为已感染环境直接退出，否则打开本地该端口进行占用。

sysrv通过检测进程，判断network01进程（矿机进程）是否正常运行，如果未正常运行，就在tmp目录进一步释放出文件内嵌的elf文件，并命名为network01将其执行。

network01模块为门罗币矿机程序，该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。

sysrv确认挖矿行为正常运行后，会开始进行蠕虫式的攻击传播：进行随机IP的端口扫描与漏洞利用，会尝试对mysql，Tomcat服务进行爆破攻击，尝试对Weblogic服务使用CVE-2020-14882漏洞（该漏洞公告由Oracle官方于2020年10月21日公开）进行远程代码执行攻击，这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。