产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文Sysrv-hello僵尸网络最新版新增5种攻击能力
2021-03-01 06:29:46
摘要
l Sysrv-hello僵尸网络木马当前版本更新较大:更新基础设施,新增端口反调试;
l 传统攻击手法保留:Mysql爆破、Tomcat爆破、Weblogic漏洞利用、Nexus弱口令命令执行漏洞利用;
l 新增5种攻击方式:Jupyter弱口令爆破、WordPress 弱口令爆破、Jenkins弱口令爆破、Redis未授权写入计划任务、Apache Solr命令执行漏洞攻击。
l 入侵成功后拉取sysrv蠕虫扩散模块,每5分钟随机扫描探测新攻击目标;
l 投递载荷:门罗币挖矿木马kthreaddi。
一、概述
腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络近期十分活跃,该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。
Sysrv-hello僵尸网络于2020年12月首次披露,腾讯安全曾在今年1月发现该团伙使用Weblogic远程代码执行漏洞(CVE-2020-14882)攻击传播,本月该团伙再次升级攻击手法:新增5种攻击能力,已观察到失陷主机数量呈上升趋势。其入侵方式覆盖到多数政企单位常用的Web服务,危害严重,腾讯安全专家提醒相关单位安全运维人员高度警惕。
Sysrv-hello僵尸网络攻击目标同时覆盖Linux和Windows操作系统,最终利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行,该僵尸网络还会利用已失陷主机继续扫描攻击其他目标。腾讯安全全系列产品已支持对Sysrv-hello僵尸网络各个环节的攻击传播活动进行检测防御。
排查&加固
腾讯安全专家建议安全运维人员排查以下条目,以判断系统是否受到损害。
文件:
/tmp/sysrv*
/tmp/随机目录/kthreaddi
进程:
sysrv*
kthreaddi
定时任务:
下拉执行(hxxp://xx.xx.x.x/ldr.sh)的风险crontab项
建议加固以下项目,以消除风险:
Jupyter、WordPress、Jenkins、Redis等服务组件配置强密码;
非必须的情况下,不对外开放redis端口。必须开放时,应配置相应的访问控制策略;
升级Apache Solr组件至最新版本,以消除漏洞影响。
腾讯安全响应清单
应用场景 | 安全产品 | 解决方案 |
威 胁 情 报 | 腾讯T-Sec 威胁情报云查服务 (SaaS) | 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 | 1)Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts | |
云原生安全 防护 | 云防火墙 (Cloud Firewall,CFW) | 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Sysrv-hello相关联的IOCs已支持识别检测; 2)Sysrv-hello发起的.Apache Solr(CVE_2019_0193),Nexus,weblogic(CVE_2020_14882),WordPress ,Jenkins,Redis等恶意攻击支持检测,阻断; 有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) | 1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp | |
腾讯T-Sec 安全运营中心 | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html | |
非云企业安全防护 | 腾讯T-Sec 高级威胁检测系统 (腾讯御界) | 基于网络流量进行威胁检测,已支持: 1)Sysrv-hello相关联的IOCs已支持识别检测; 2)Sysrv-hello发起的.Apache Solr(CVE_2019_0193),Nexus,weblogic(CVE_2020_14882),WordPress ,Jenkins,Redis等恶意攻击,支持识别检测 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
腾讯T-Sec 零信任无边界 访问控制系统 (iOA) | 1)已支持Sysrv-hello关联模块的检测告警,查杀清理。
零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html |
二、样本分析
分析样本后发现,Sysrv-hello僵尸网络木马当前版本代码结构相对以往版本变化较大,样本行为层除增加端口反调试、使用的基础设施更新之外。其入侵方式也增加了5种,除去之前使用的Mysql爆破,Tomcat爆破,Weblogic漏洞利用,Nexus弱口令命令执行漏洞利用外。新增以下5种组件的入侵攻击。
1.Jupyter弱口令爆破入侵;
2.WordPress 弱口令爆破入侵;
3.Jenkins弱口令爆破入侵;
4.Redis未授权写计划任务入侵;
5.Apache Solr命令执行漏洞入侵(CVE_2019_0193)。
hello_src_exp组合攻击
入侵成功后植入shell脚本执行恶意命令,脚本进一步拉取sysrv蠕虫扩散模块,分析过程种捕获到两个恶意文件托管地址,hxxp://finalshell.nl,hxxp://45.145.185.85,对应sysrv蠕虫模块分别命名为sysrv002,sysrv003,可见该蠕虫更新频繁。
分析版本sysrv蠕虫启动后会对端口进行随机扫描,ip随机生成,随机从9个准备好的目标端口内选择一个进行扫描探测,确认目标开放服务,确认攻击方式。单次扫描循环单位为5分钟。
扫描端口信息如下
对sysrv蠕虫随机目标扫描代码进行相关patch后可进一步方便观察其单次攻击流程
新版本病毒,相比之前的版本增加了5种组件的攻击方式,主要有以下部分:
Jupyter弱口令爆破入侵
Jupyter Notebook是一个交互式笔记本,支持运行 40 多种编程语言。本质是一个 Web 应用程序,便于创建和共享文学化程序文档,支持实时代码,数学方程,可视化。当管理员未为Jupyter Notebook配置密码,或者配置了弱密码时,将导致未授权访问漏洞。攻击者即有机会登录其管理界面,进而创建console执行任意代码。
Jupyter Notebook登录管理界面
点击terminal创建console可执行任意代码
sysrv感染过程对目标进行Jupyter登录页面探测
查询其登录接口尝试弱密码组包登录Jupyter管理后台
攻击过程种使用到的部分弱密码
登录成功后调用管理面板terminals接口执行命令入侵服务器执行恶意脚本
下图为Jupyter组件被入侵成功后,被植入了sysrv003蠕虫模块
Apache Solr命令执行漏洞 入侵(CVE_2019_0193)
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现,2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。病毒利用该方式对服务器进行入侵,植入恶意脚本执行恶意代码。
WordPress 弱口令爆破入侵
WordPress是一款快速建立出色网站、博客或应用的开源软件系统,当WordPress 管理员口令设置得过于简单,攻击者则有机会暴力破解并登录到系统,进一步入侵主机。攻击者对xmlrpc.php接口进行暴力破解,进一步绕过WordPress安全限制,最终通过修改主题或上传插件的方式进一步植入恶意代码。
Jenkins弱口令爆破入侵
Jenkins面板中用户可以选择执行脚本界面来操作一些系统命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限。
攻击过程使用到的部分弱口令
Redis未授权写计划任务入侵
Redis在默认情况会将服务绑定在0.0.0.0:6379上,从而将服务暴露在公网环境下,如果在没有开启安全认证的情况下,可以导致任意用户未授权访问Redis服务器并Redis进行读写操作,病毒通过漏洞利用写入计划任务进一步实现入侵。
kthreaddi挖矿
病毒当前投递最终载荷依然为挖矿木马,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放矿机到tmp目录下的随机目录内,并将其运行,随后会将本地矿机文件进行删除。
释放矿机到\tmp目录下的随机文件夹内,命名为kthreaddi,并将其进行删除
矿机将对机器资源进行高占用,矿机依然为XMR类型,进行门罗币挖矿。
三、威胁视角看攻击行为
ATT&CK阶段 | 行为 |
侦察 | 通过随机生成IP,扫描IP端口,确认可攻击目标存在的Web服务:Jupyter、WordPress、Jenkins等。 |
资源开发 | 注册C2服务器,同时对已入侵的服务器植入蠕虫模块进一步扩散传播 |
初始访问 | 利用对外开放的Web服务,植入恶意Payload执行恶意命令进而入侵系统 |
执行 | 首先植入恶意脚本执行恶意命令,随后下载植入ELF蠕虫、挖矿模块 |
持久化 | 利用计划任务实现持久化驻留 |
防御规避 | 挖矿进程名为kthreadaddi,挖矿进程名与系统进程名高度相似,以实现混淆 |
发现 | 通过扫描目标web服务信息以确认后续攻击方式 |
影响 | 蠕虫sysrv模块长时间的扫描,门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 |
IOCs
MD5:
64cfecd6ae9730ee553824b3d1037ffd
289572ebd295c6d6c004445a53a4a77a
cac751b8f6c0fcf7c75df1680c356429
1f58426b51dac9172e5cdaad993a814c
620e54b0252d8179a7ff90967b643889
URL:
hxxp://45.145.185.85/ldr.ps1
hxxp://45.145.185.85/ldr.sh
hxxp://45.145.185.85/sysrv
hxxp://45.145.185.85/sysrv.exe
hxxp://finalshell.nl/ldr.ps1
hxxp://finalshell.nl/ldr.sh
hxxp://finalshell.nl/sysrv
Domain&IP
finalshell.nl
45.145.185.85
参考资料:
《Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿》
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
相关资源
网络安全运维工程师-认证
下载相关文章
春节期间H2Miner挖矿团伙利用多个漏洞武器攻击云上主机
在线咨询
方案定制