产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
利用Aapche Struts高危漏洞入侵的双平台挖矿木马
2018-12-06 09:56:44
一、背景
近期御见威胁情报中心发现针对Windows和Linux服务器攻击的挖矿木马,御见威胁情报中心蜜罐系统部署了存在Aapche Struts2-045(CVE-2017-5638)漏洞的Linux服务器,攻击者通过该漏洞进入蜜罐机器,添加恶意脚本代码到计划任务并植入了挖矿木马。
分析发现,在恶意脚本代码的FTP服务器上还存在Windows版和Linux版的PHP木马,PHP木马传播的针对不同系统的挖矿木马,且最终均使用了相同的矿池及钱包。该挖矿木马在运行时,会检查系统有没有其他挖矿进程运行,如果有就结束掉,确保自己独占挖矿资源。
御见威胁情报中心对该病毒进行溯源,发现这次入侵传播Windows、linux双平台挖矿木马的病毒团伙和之前友商命名的8220团伙为同一伙人。8220团伙曾利用Web服务器安全漏洞入侵企业内网,传播GandCrab勒索病毒和挖矿木马。可参考《“8220团伙”最新活动分析:挖矿木马与勒索病毒共舞》
继续检查发现蜜罐机器上被添加一个计划任务,每分钟下载执行脚本代码
hxxp://93.174.93.149/logo8.jpg,且该计划任务被启动时USER为tomcat。
对该蜜罐机器的tomcat web相关日志进行分析,找到利用Aapche Struts2-045(CVE-2017-5638)漏洞入侵的相关记录。日志显示,基于Jakarta Multipart解析器执行文件上传时,接收到攻击者构造的漏洞利用代码导致RCE,随后logo8.jpg被下载到/tmp目录并通过bash命令执行,最后logo8.jpg被删除。
Apache Struts是一款用于创建企业级Java Web应用的开源框架,Apache Struts2存在S2-045远程代码执行漏洞,远程攻击者利用该漏洞可直接取得网站服务器控制权。
二、脚本分析
Logo8.jpg(shell)创建目录/tmp,断开与以下地址的网络连接
27.155.87.59
104.160.171.94
170.178.178.57
91.236.182.1
52.15.62.13
121.18.238.56
103.99.115.220
213.32.29.143
清理当前主机的其他挖矿进程,清除挖矿文件
minerd、xmr、xmrig等,清除脚本文件nu.sh,tdd.sh等
清理/tmp/j*相关文件
将挖矿进程r1x结束,然后通过计算文件MD5与5fc34986f39711c178161699260bba85对比,判断挖矿文件/tmp/r1x是否为最新文件。
若文件不是最新版本则尝试从两个地址下载挖矿木马。
然后下载挖矿配置文件xd.json,并调用nohup后台执行挖矿进程。
检查计划任务中是否包含地址93.174.93.149,如果不存在则添加通过curl或wget下载脚本logo8.jpg执行的计划任务。
挖矿配置文件xd.json。
配置文件显示挖矿时使用三个矿池:
54.36.137.146:3333
gulf.moneroocean.stream:80
37.59.162.30:3333
共用一个钱包:
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ
从moneroocean.stream可以查询到该钱包部分收益,目前已挖矿获得5个XMR,且可以看到以当前的hash速率,每日的收益为0.131960 XMR/$7.65/day,也可以推算出这个钱包的上线时间到目前为40天左右。
三、关联分析
通过其C&C反查发现其21端口(FTP服务)处于开放状态,且不需要密码即可访问,登录该FTP服务器发现在其上还存在Liunx版本以及Windows版本的PHP木马文件,攻击者将这些PHP木马上传至存在漏洞或缺陷的网站服务器上并利用其进一步植入其他病毒。其中win.php、task.php传播windows版本的挖矿程序,linx.php传播Linux版本的挖矿程序。
Windows版
win.php(task.php)被上传至服务器执行后,会下载执行powershell脚本SchTasks.ps1
powershell脚本SchTasks.ps1下载挖矿木马whdtasks.exe,拷贝到TMP目录并命名为hihu.exe,然后将SchTasks.ps1添加为计划任务执行。
接着清除已知的挖矿木马进程和杀软进程以及iexplorer.exe:
yam.exe
miner.exe
xmrig.exe
nscpucnminer32.exe
nscpucnminer64.exe
1e.exe
iie.exe
taskhostxz.exe
3.exe
iee.exe
ie.exe
je.exe
im360sd.exe
iexplorer.exe
imzhudongfangyu.exe
360tray.exe
360rp.exe
360rps.exe
pe.exe
最后执行木马程序hehe.exe(根据前面代码应该执行hihu.exe,此处可能是作者失误或者故意写错)。
hehe.exe拷贝自身到ProgramData目录,从93.174.93.149下载挖矿配置文件new.txt,并将其通过base64加密后写入cfg文件,可以看到挖矿配置文件中的矿池地址和钱包与Liunx挖矿木马中所使用的相同。
hehe.exe启动notepad.exe并将挖矿代码注入,利用该傀儡进程进行挖矿。
Linux版
Linx.php被上传至服务器执行后,下载.lib64x.tar.gz到/tmp/目录中,并执行initall进行安装。
压缩包中包含linux版本挖矿木马xmrig
最后通过run.sh启动挖矿进程,挖矿时使用的矿池和钱包与前述的挖矿木马相同。
四、家族信息
该C2域名(93.174.93.149)由御见威胁情报中心于10月11日首次披露
https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg
文章发现木马团伙使用的某个钱包与友商发布的“8220”挖矿木马团伙相同:
4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
而本文发现的恶意脚本代码与“8220”挖矿木马团伙所使用的脚本代码具有高度相似性
(本文挖矿木马脚本代码片段)
(“8220”挖矿木马团伙代码片段)
并且恶意脚本在启动新的挖矿木马时,对早期的文件目录/tmp/java*进行清理,该目录也正是“8220”挖矿团伙所使用,这个行为可能在进行版本更新。
基于以上特点我们认为本文发现的挖矿木马与“8220”挖矿木马属于同一团伙。
五、安全建议
1.可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 ,以及Struts2.5 到 Struts2.5.10之间则存在漏洞。受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。
2.使用腾讯御知网络空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控,及时修复Web服务器安全漏洞。
3.网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),其具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统。
4. 推荐企业在Windows服务器使用腾讯御点防范病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
IOCs
URL
hxxp://93.174.93.149/logo8.jpg
hxxp://93.174.93.149/xd.json
hxxp://93.174.93.149/new.txt
hxxp://93.174.93.149/SchTasks.ps1
fxp://93.174.93.149/win.php
fxp://93.174.93.149/task.php
fxp://93.174.93.149/linx.php
md5
5fc34986f39711c178161699260bba85
3846b42b7ac29f8f92f6222230207cb5
矿池:
54.36.137.146:3333
gulf.moneroocean.stream:80
37.59.162.30:3333
钱包:
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ
在线咨询
方案定制