腾讯云防火墙截获Cleanfda挖矿木马对云主机的攻击,攻击者可完全控制失陷主机

2021-06-03 09:14:48
腾讯云防火墙检测到有攻击者利用Docker Remote Api未授权命令执行漏洞攻击云主机,攻击成功后会投递挖矿木马,该团伙的攻击活动已影响上千台云主机。本次攻击活动会利用多个漏洞进行蠕虫化扩散,失陷服务器因攻击者添加登录后门已被完全控制,我们根据木马下载资源的路径名将其命名为Cleanfda挖矿木马。

摘要

本次攻击具备以下特点:

1.利用Docker Remote Api未授权命令执行漏洞攻击云主机;

2.利用SSH爆破、Redis未授权写计划任务等方式呈蠕虫式传播;

3.尝试卸载云主机安全软件,尝试结束、清除竞品挖矿木马;

4.劫持pstoppstree等系统工具隐蔽挖矿;

5.改写authorized_keys设置免密登录后门;

6.读取主机历史ssh登录信息尝试登入并植入恶意脚本执行。

一、概述

腾讯云防火墙检测到有攻击者利用Docker Remote Api未授权命令执行漏洞攻击云主机,攻击成功后会投递挖矿木马,该团伙的攻击活动已影响上千台云主机。本次攻击活动会利用多个漏洞进行蠕虫化扩散,失陷服务器因攻击者添加登录后门已被完全控制,我们根据木马下载资源的路径名将其命名为Cleanfda挖矿木马。


失陷主机在发起蠕虫攻击和挖矿活动时存在系统资源耗尽风险,这将严重影响云主机正常业务运行。Cleanfda挖矿木马攻击控制云主机之后,会进一步尝试使用SSH爆破、Redis未授权写计划任务等方式攻击传播,若企业服务器配置不当,将存在前述漏洞的服务器暴露在互联网,可能成为蠕虫攻击的牺牲品。

腾讯安全专家指出,由于攻击者会在被控系统留置后门,可以随时远程登录,失陷系统不仅存在信息泄露风险,还存在被攻击者下载运行勒索病毒等更严重的风险。腾讯安全专家建议企业安全运维人员及时排查清除木马威胁。

腾讯云防火墙、腾讯云主机安全系统均支持对Cleanfda挖矿木马攻击传播的各个环节进行检测拦截。


加固&清理

腾讯安全专家建议政企用户使用腾讯主机安全产品进行文件扫描,或排查以下条目:

文件

/etc/zzh

/tmp/zzh

/etc/strace

/tmp/strace

/tmp/hxx

/tmp/ps

排查pstoppstree等工具文件是否被替换。

进程

排查清理以下可疑进程

zzh

strace

pnscan

masscan

hxx

启动项&后门账户

1.清理包含可疑IP*init*相关的计划任务,例如下案例:

*/40 * * * * root sh /etc/newinit.sh >/dev/null 2>&1

2.清理排查恶意的免密登录后门配置项,例如下案例:

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

系统加固建议

1.建议安全运维人员配置Docker swarm服务端口不要暴露在公网,修改Docker swarm的认证方式,可以使用TLS认证。

2.建议Redis 服务端口不要暴露在公网,使用强口令。

3.配置SSH服务使用强口令。

二、腾讯安全解决方案

Cleanfda挖矿木马相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。

腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。


腾讯云防火墙已支持对Cleanfda挖矿木马利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断DOCKER Remote Api未授权访问漏洞攻击进行攻击利用。


私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Cleanfda挖矿木马发起的恶意攻击行为。


私有云客户可通过旁路部署腾讯天幕(NIPS)实时拦截Cleanfda挖矿木马的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、详细分析

腾讯云防火墙监测到cleanfda挖矿木马利用Docker Api未授权命令执行创建容器,并进一步下载执行名为trace的门罗币挖矿木马。经进一步分析,当前活跃cleanfda挖矿木马恶意载荷当前主要托管在以下3个恶意IP地址内(47.114.157.11745.133.203.192194.87.139.103)。


分析该挖矿木马其它恶意载荷,涉及多个恶意sh脚本(init.shis.shrs.sh),具备常见挖矿木马的多重行为属性。例如:会尝试卸载云主机安全软件,尝试结束清除其它竞品挖矿木马。



该挖矿木马还会尝试对pstoppstree等系统工具进行重命名和替换,进而通过劫持工具运行参数的方式,实现隐蔽挖矿。


通过改写authorized_keys设置免密登录后门


读取主机历史ssh登录信息尝试登入并植入恶意脚本执行


该挖矿木马具备蠕虫性质,木马首先会下载编译pnscanmasscan扫描工具。下载名为hxxssh爆破工具以及名为ps的弱口令字典,字典当前具有5652条账号密码信息。



脚本最终调度下载好的扫描、爆破、字典工具展开ssh爆破入侵,Redis未授权写计划任务入侵流程。使该挖矿木马呈蠕虫式扩散。涉及到的redis弱密码有以下部分:

redis

root

oracle

password

p@aaw0rd

abc123

abc123!

123456

admin



攻击者最终利用失陷云主机运行xmr门罗币矿工程序

所用矿池:

xmr.f2pool.com

钱包:

82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4

87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv

四、威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描端口,确认可攻击目标存在的SSHRedisdocker等服务

资源开发

注册C2服务器

初始访问

利用对外开放的SSHRedisDocker服务,未授权情况下植入恶意命令执行恶意命令进而入侵系统

执行

利用漏洞植入恶意命令,随后下载植入pnscanmasscansshbru进行扫描爆破蠕虫扩散,同时执行挖矿模块

持久化

通过写crontab实现持久化驻留

防御规避

挖矿进程名为trace,试图实现伪装系统工具进程。通过对pstoppstree的重命名替换劫持意图隐藏挖矿过程中的恶意模块进程

发现

通过扫描目标开放端口信息以确认后续攻击方式

影响

驻留的免密登录后门将给服务器带来不可预料的各类型网络风险,蠕虫功能,门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

IOCs

MD5:

7fe93cabeb10c6c8ed414ef8ca479588

f0551696774f66ad3485445d9e3f7214

859fbbedefc95a90d243a0a9b92d1ae9

d138c74fb95be4cb69559f4fb2f5850c

4f6a3d06bfc5da004deb5959131e05c1

IP:

47.114.157.117

45.133.203.192

194.87.139.103

URL:

hxxp://47.114.157.117/cleanfda/zzh

hxxp://47.114.157.117/cleanfda/is.sh

hxxp://47.114.157.117/cleanfda/init.sh

hxxp://47.114.157.117/cleanfda/trace

hxxp://45.133.203.192/cleanfda/zzh

hxxp://45.133.203.192/cleanfda/newinit.sh

hxxp://45.133.203.192/cleanfda/pnscan.tar.gz

hxxp://45.133.203.192/b2f628fff19fda999999999/1.0.4.tar.gz

hxxp://45.133.203.192/cleanfda/init.sh

hxxp://45.133.203.192/cleanfda/config.json

hxxp://45.133.203.192/cleanfda/is.sh

hxxp://45.133.203.192/cleanfda/rs.sh

hxxp://45.133.203.192/cleanfda/call.txt

hxxp://194.87.139.103/cleanfda/ps

hxxp://194.87.139.103/cleanfda/hxx

hxxp://py2web.store/cleanfda/zzh

hxxp://py2web.store/cleanfda/newinit.sh


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



最新资讯