仅仅一周,那个打鸡血的Sysrv-hello僵尸网络又多了14种漏洞武器

2021-03-15 14:02:09
Sysrv-hello僵尸网络近期更新频率极高。从当前捕获到的病毒版本来看,该僵尸网络蠕虫模块攻击方式由之前以爆破攻击为主、漏洞利用为辅转变为:更加依赖漏洞攻击。新变种在极短时间内向蠕虫传播模块集成了14种新漏洞攻击方式,腾讯安全全系列产品已支持全面检测拦截该病毒团伙最新的漏洞攻击。

摘要:

l  Sysrv-hello僵尸网络自去年12月被发现之后,更新十分频繁;

l  最初以爆破攻击为主漏洞攻击为辅,目前已转变为主要依赖漏洞攻击;

l  对新漏洞武器的采用速度较快;

l  其使用的恶意载荷托管地也频繁改变;

l  目前版本的最终载荷为门罗币挖矿木马[kthreaddi]

l  其拥有的漏洞攻击武器使其具备很强的蠕虫病毒扩散能力:

1)         Hadoop未授权漏洞利用;

2)         XXLjob未授权漏洞利用;

3)         Thinkphp 命令执行漏洞;

4)         Supervisord 命令执行漏洞(CVE-2017-11610);

5)         Joomla 反序列化漏洞(CVE-2015-8562);

6)         Phpunit 远程代码执行漏洞(CVE-2017-9841);

7)         Apache Unomi远程代码执行漏洞 (CVE-2020-13942)

8)         SaltStack 命令注入漏洞(CVE-2020-16846);

9)         Mongo-express 远程代码执行漏洞(CVE-2019-10758);

10)     Drupal 远程代码执行漏洞(CVE-2018-7600);

11)     Jenkins远程命令执行漏洞(CVE-2018-1000861);

12)     Jboss反序列化漏洞(CVE-2017-12149);

13)     Confluence远程代码执行漏洞(CVE-2019-3396);

14)     Laravel远程代码执行漏洞(CVE-2021-3129

一、概述

腾讯安全威胁情报中心检测到,Sysrv-hello僵尸网络近期更新频率极高。从当前捕获到的病毒版本来看,该僵尸网络蠕虫模块攻击方式由之前以爆破攻击为主、漏洞利用为辅转变为:更加依赖漏洞攻击。

其新变种在极短时间内向蠕虫传播模块集成了14种新漏洞攻击方式,而这次发现离腾讯安全本月初报告该团伙增加5种漏洞攻击方式仅仅过去一周多。Sysrv-hello僵尸网络最早被安全厂商关注到的时间为202012月,该团伙对新漏洞武器的采用速度较快,已是目前技术更新最为频繁的僵尸网络之一,被其攻陷的主机系统有数万台之多。我们预见该团伙未来一段时间仍会高频更新其病毒版本和漏洞攻击工具。

Sysrv-hello僵尸网络发起的攻击数量近期呈明显上升趋势。

由于该僵尸网络具备很强的蠕虫病毒扩散特性,其利用的漏洞武器攻击面覆盖多数企业常用的互联网服务组件,最终载荷危害LinuxWindows双系统。腾讯安全提醒企业安全运维人员提高警惕,利用企业已部署的安全防护系统积极排查、修补业务系统漏洞,以免遭遇Sysrv-hello僵尸网络的攻击。

腾讯安全全系列产品已支持对Sysrv-hello僵尸网络各个环节的攻击传播活动进行检测防御。

排查&加固

腾讯安全专家建议安全运维人员排查以下条目,以判断系统是否受到损害。

文件:

/tmp/sysrv*

/tmp/随机目录/[kthreaddi]

进程:

sysrv*

*kthreaddi*

network*

定时任务:

下拉执行(hxxp://*.*.*.*/ldr.sh)的风险crontab

加固:

排查自身对外开放的网络服务组件,对存在的安全漏洞及时修复。

1.Hadoop2.X以上版本提供了安全认证功能,建议管理员升级并启用Kerberos的认证功能,阻止未经授权的访问。

2.开启 XXL-JOB 自带鉴权组件,消除XXL-JOB未授权命令执行漏洞风险。

3.Thinkphp Supervisord Joomla 等受影响的组件升级到安全版本。

腾讯安全响应清单

腾讯安全系列产品针对Sysrv-hello僵尸网络的响应清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)Sysrv-hello相关威胁情报已加入,可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

网络空间风险云监测系统

CCMS

1Sysrv-hello相关情报已加入。

腾讯安全云监测系统,面向行业客户的监管方和被监管方,结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等,为客户提供全面、及时的互联网风险监测评估服务,并可提供配套安全管家服务,可对相关风险提供有效的响应处理。

腾讯T-Sec

高级威胁追溯系统

1Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生

安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量:

1)Sysrv-hello相关联的IOCs已支持识别检测;

2)Sysrv-hello发起的组件爆破,已支持对该团伙利用的十多种漏洞攻击手段进行检测拦截。

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)已支持对Sysrv-hello僵尸网络利用的十多种漏洞利用进行检测告警;

2)已支持查杀清理与Sysrv-hello僵尸网络关联的各种恶意样本

3)基线管理已支持对Sysrv-hello僵尸网络利用的网络组件进行版本检查。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)Sysrv-hello相关联的IOCs已支持识别检测;

2)Sysrv-hello发起的组件爆破、该团伙利用的十余种漏洞攻击已支持检测、告警。

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 iOA

1)已支持Sysrv-hello关联模块的检测告警、查杀清理。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html

二、分析

Sysrv-hello僵尸网络近期更新十分频繁,新版本入侵成功后植入的脚本也不同以往,运行后首先会结束老版本运行中的模块,并将当前自身写入计划任务启动项,随后执行蠕虫、挖矿等相关模块。


分析当前活跃版本可知,Sysrv-hello僵尸网络以往的老版本病毒攻击方式多以爆破攻击为主漏洞攻击为辅。而新版病毒攻击方式更偏向于直接利用漏洞攻击开放的web服务。观察其近期更新情况,已在短时间内新增14种网络组件的漏洞攻击能力,包括:

1.Hadoop未授权漏洞利用;

2.XXLjob未授权漏洞利用;

3.Thinkphp 命令执行漏洞;

4.Supervisord 命令执行漏洞(CVE-2017-11610);

5.Joomla 反序列化漏洞(CVE-2015-8562);

6.Phpunit 远程代码执行漏洞(CVE-2017-9841);

7.Apache Unomi远程代码执行漏洞 (CVE-2020-13942)

8.SaltStack 命令注入漏洞(CVE-2020-16846);

9.Mongo-express 远程代码执行漏洞(CVE-2019-10758);

10.Drupal 远程代码执行漏洞(CVE-2018-7600);

11.Jenkins远程命令执行漏洞(CVE-2018-1000861);

12.Jboss反序列化漏洞(CVE-2017-12149);

13.Confluence远程代码执行漏洞(CVE-2019-3396);

14.Laravel远程代码执行漏洞(CVE-2021-3129


Sysrv-hello僵尸网络使用的扫描探测端口也从9个增加到12个。


以下为部分漏洞攻击过程使用到的相关payload

Supervisord 命令执行漏洞(CVE-2017-11610


Mongo-express 远程代码执行漏洞(CVE-2019-10758


ThinkPHP 命令执行漏洞


XXLjob未授权漏洞利用payload相关内容


Jenkins远程命令执行漏洞(CVE-2018-1000861)利用payload相关内容



Drupal 远程代码执行漏洞(CVE-2018-7600)利用payload相关内容



Phpunit 远程代码执行漏洞(CVE-2017-9841)利用payload相关内容



Apache Unomi远程代码执行漏洞 (CVE-2020-13942)利用payload相关内容



Laravel远程代码执行漏洞(CVE-2021-3129)利用payload相关内容


同时,分析发现,Sysrv-hello僵尸网络以往版本所使用的网络基础设施基本比较固定,而

该团伙使用的恶意载荷托管地也频繁改变,其近期使用的活跃资产主要包括以下ip和域名:

194.40.243.98

45.145.185.85

31.42.177.123

31.210.20.120

185.239.242.71

185.239.242.70

finalshell.nl

Sysrv-hello僵尸网络的最终载荷依然为挖矿木马,payload运行后释放出[kthreaddi]模块进行门罗币挖矿。云主机被入侵感染Sysrv-hello僵尸网络病毒后,其蠕虫扩散模块和矿机模块会占用大量CPU资源,会对云主机的正常业务运行产生严重影响。



三、威胁视角看攻击行为

ATT&CK阶段

行为

侦察

通过随机生成IP,扫描IP端口,确认可攻击目标存在的Web服务:HadoopXXL-JOBJupyterWordPressJenkins等。

资源开发

注册C2服务器,同时对已入侵的服务器植入蠕虫模块进一步扩散传播

初始访问

利用对外开放的Web服务,植入恶意Payload执行恶意命令进而入侵系统

执行

首先植入恶意脚本执行恶意命令,随后下载植入ELF蠕虫、挖矿模块

持久化

利用计划任务实现持久化驻留

防御规避

挖矿进程名为[kthreadaddi],挖矿进程名与系统进程名高度相似,以实现混淆

发现

通过扫描目标web服务信息以确认后续攻击方式

影响

蠕虫sysrv*模块长时间的扫描,门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

Sysrv-hello僵尸网络相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。

腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。腾讯主机安全(云镜)已支持对Sysrv-hello僵尸网络所利用的十多种服务器组件漏洞进行检测。


腾讯云防火墙已支持对Sysrv-hello僵尸网络利用的十多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Mongo-express 远程代码执行漏洞(CVE-2019-10758)进行攻击利用。


私有云用户可通过旁路部署腾讯高级威胁检测系统(御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(御界)已支持对Sysrv-hello僵尸网络利用的十多种漏洞攻击进行检测。下图为腾讯御界检测到利用Mongo-express 远程代码执行漏洞(CVE-2019-10758)发起的恶意攻击活动。


Sysrv-hello僵尸网络具备跨平台攻击能力,同样危害Windows系统。企业私有云可以在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统(iOA),iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证用户身份、设备及应用安全状态确定是否允许用户访问企业业务,确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备,都可安全访问企业资源和数据。


IOCs

MD5

ae8a20aa2ea6e32cc6d8693f64794a49

4ad7b05d65b40a568d20241d0bc5f729

c98696f4668d08fe07138b814be3dac5

IP

194.40.243.98

45.145.185.85

31.42.177.123

31.210.20.120

185.239.242.71

185.239.242.70

DOMAIN

finalshell.nl

URL

hxxp://31.210.20.120/ldr.sh

hxxp://31.210.20.120/sysrvv

参考链接:

1. Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击LinuxWindows主机挖矿

https://mp.weixin.qq.com/s/iNqBcLKwhVUSz5ltLN_ubw

2. Sysrv-hello僵尸网络最新版新增5种攻击能力

https://mp.weixin.qq.com/s/p7s6aqxyznfZUQOnJavXsA

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯