Sysrv-hello僵尸网络最新版新增5种攻击能力

2021-03-01 14:29:46
腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络近期十分活跃,该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。Sysrv-hello僵尸网络于2020年12月首次披露,腾讯安全曾在今年1月发现该团伙使用Weblogic远程代码执行漏洞(CVE-2020-14882)攻击传播,本月该团伙再次升级攻击手法:新增5种攻击能力,已观察到失陷主机数量呈上升趋势。其入侵方式覆盖到多数政企单

摘要

l  Sysrv-hello僵尸网络木马当前版本更新较大:更新基础设施,新增端口反调试;

l  传统攻击手法保留:Mysql爆破、Tomcat爆破、Weblogic漏洞利用、Nexus弱口令命令执行漏洞利用;

l  新增5种攻击方式:Jupyter弱口令爆破、WordPress 弱口令爆破、Jenkins弱口令爆破、Redis未授权写入计划任务、Apache Solr命令执行漏洞攻击。

l  入侵成功后拉取sysrv蠕虫扩散模块,每5分钟随机扫描探测新攻击目标;

l  投递载荷:门罗币挖矿木马kthreaddi

一、概述

腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络近期十分活跃,该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。

Sysrv-hello僵尸网络于202012月首次披露,腾讯安全曾在今年1月发现该团伙使用Weblogic远程代码执行漏洞(CVE-2020-14882)攻击传播,本月该团伙再次升级攻击手法:新增5种攻击能力,已观察到失陷主机数量呈上升趋势。其入侵方式覆盖到多数政企单位常用的Web服务,危害严重,腾讯安全专家提醒相关单位安全运维人员高度警惕。

Sysrv-hello僵尸网络攻击目标同时覆盖LinuxWindows操作系统,最终利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行,该僵尸网络还会利用已失陷主机继续扫描攻击其他目标。腾讯安全全系列产品已支持对Sysrv-hello僵尸网络各个环节的攻击传播活动进行检测防御。

排查&加固

腾讯安全专家建议安全运维人员排查以下条目,以判断系统是否受到损害。

文件:

/tmp/sysrv*

/tmp/随机目录/kthreaddi

进程:

sysrv*

kthreaddi

定时任务:

下拉执行(hxxp://xx.xx.x.x/ldr.sh)的风险crontab

建议加固以下项目,以消除风险:

JupyterWordPressJenkinsRedis等服务组件配置强密码;

非必须的情况下,不对外开放redis端口。必须开放时,应配置相应的访问控制策略;

升级Apache Solr组件至最新版本,以消除漏洞影响。

腾讯安全响应清单

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)威胁情报已加入,可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量:

1)Sysrv-hello相关联的IOCs已支持识别检测;

2)Sysrv-hello发起的.Apache SolrCVE_2019_0193),NexusweblogicCVE_2020_14882)WordPress JenkinsRedis等恶意攻击支持检测,阻断;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)Sysrv-hello相关联的IOCs已支持识别检测;

2)Sysrv-hello发起的.Apache SolrCVE_2019_0193),NexusweblogicCVE_2020_14882)WordPress JenkinsRedis等恶意攻击,支持识别检测

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 iOA

1)已支持Sysrv-hello关联模块的检测告警,查杀清理。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html

二、样本分析

分析样本后发现,Sysrv-hello僵尸网络木马当前版本代码结构相对以往版本变化较大,样本行为层除增加端口反调试、使用的基础设施更新之外。其入侵方式也增加了5种,除去之前使用的Mysql爆破,Tomcat爆破,Weblogic漏洞利用,Nexus弱口令命令执行漏洞利用外。新增以下5种组件的入侵攻击。

1.Jupyter弱口令爆破入侵;

2.WordPress 弱口令爆破入侵;

3.Jenkins弱口令爆破入侵;

4.Redis未授权写计划任务入侵;

5.Apache Solr命令执行漏洞入侵(CVE_2019_0193)。

hello_src_exp组合攻击


入侵成功后植入shell脚本执行恶意命令,脚本进一步拉取sysrv蠕虫扩散模块,分析过程种捕获到两个恶意文件托管地址,hxxp://finalshell.nlhxxp://45.145.185.85,对应sysrv蠕虫模块分别命名为sysrv002sysrv003,可见该蠕虫更新频繁。



分析版本sysrv蠕虫启动后会对端口进行随机扫描,ip随机生成,随机从9个准备好的目标端口内选择一个进行扫描探测,确认目标开放服务,确认攻击方式。单次扫描循环单位为5分钟。


扫描端口信息如下



sysrv蠕虫随机目标扫描代码进行相关patch后可进一步方便观察其单次攻击流程



新版本病毒,相比之前的版本增加了5种组件的攻击方式,主要有以下部分:

Jupyter弱口令爆破入侵

Jupyter Notebook是一个交互式笔记本,支持运行 40 多种编程语言。本质是一个 Web 应用程序,便于创建和共享文学化程序文档,支持实时代码,数学方程,可视化。当管理员未为Jupyter Notebook配置密码,或者配置了弱密码时,将导致未授权访问漏洞。攻击者即有机会登录其管理界面,进而创建console执行任意代码。

Jupyter Notebook登录管理界面


点击terminal创建console可执行任意代码


sysrv感染过程对目标进行Jupyter登录页面探测


查询其登录接口尝试弱密码组包登录Jupyter管理后台



攻击过程种使用到的部分弱密码


登录成功后调用管理面板terminals接口执行命令入侵服务器执行恶意脚本


下图为Jupyter组件被入侵成功后,被植入了sysrv003蠕虫模块


Apache Solr命令执行漏洞 入侵(CVE_2019_0193

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP Apache Lucene 实现,201981日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。病毒利用该方式对服务器进行入侵,植入恶意脚本执行恶意代码。



WordPress 弱口令爆破入侵

WordPress是一款快速建立出色网站、博客或应用的开源软件系统,当WordPress 管理员口令设置得过于简单,攻击者则有机会暴力破解并登录到系统,进一步入侵主机。攻击者对xmlrpc.php接口进行暴力破解,进一步绕过WordPress安全限制,最终通过修改主题或上传插件的方式进一步植入恶意代码。




Jenkins弱口令爆破入侵

Jenkins面板中用户可以选择执行脚本界面来操作一些系统命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限。


攻击过程使用到的部分弱口令


Redis未授权写计划任务入侵

Redis在默认情况会将服务绑定在0.0.0.0:6379上,从而将服务暴露在公网环境下,如果在没有开启安全认证的情况下,可以导致任意用户未授权访问Redis服务器并Redis进行读写操作,病毒通过漏洞利用写入计划任务进一步实现入侵。


kthreaddi挖矿

病毒当前投递最终载荷依然为挖矿木马,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放矿机到tmp目录下的随机目录内,并将其运行,随后会将本地矿机文件进行删除。


释放矿机到\tmp目录下的随机文件夹内,命名为kthreaddi,并将其进行删除



矿机将对机器资源进行高占用,矿机依然为XMR类型,进行门罗币挖矿。



三、威胁视角看攻击行为

ATT&CK阶段

行为

侦察

通过随机生成IP,扫描IP端口,确认可攻击目标存在的Web服务:JupyterWordPressJenkins等。

资源开发

注册C2服务器,同时对已入侵的服务器植入蠕虫模块进一步扩散传播

初始访问

利用对外开放的Web服务,植入恶意Payload执行恶意命令进而入侵系统

执行

首先植入恶意脚本执行恶意命令,随后下载植入ELF蠕虫、挖矿模块

持久化

利用计划任务实现持久化驻留

防御规避

挖矿进程名为kthreadaddi,挖矿进程名与系统进程名高度相似,以实现混淆

发现

通过扫描目标web服务信息以确认后续攻击方式

影响

蠕虫sysrv模块长时间的扫描,门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

IOCs

MD5:
64cfecd6ae9730ee553824b3d1037ffd
289572ebd295c6d6c004445a53a4a77a
cac751b8f6c0fcf7c75df1680c356429

1f58426b51dac9172e5cdaad993a814c

620e54b0252d8179a7ff90967b643889

URL:

hxxp://45.145.185.85/ldr.ps1

hxxp://45.145.185.85/ldr.sh

hxxp://45.145.185.85/sysrv

hxxp://45.145.185.85/sysrv.exe

hxxp://finalshell.nl/ldr.ps1

hxxp://finalshell.nl/ldr.sh

hxxp://finalshell.nl/sysrv

Domain&IP

finalshell.nl

45.145.185.85

参考资料:

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击LinuxWindows主机挖矿


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



最新资讯