产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
腾讯御见监测到BuleHero挖矿蠕虫再出变种,新增4899端口爆破攻击
2019-07-05 03:08:50
一、背景
挖矿蠕虫病毒BuleHero最早由腾讯安全御见威胁情报中心于2018年8月发现,该病毒擅长利用各类漏洞攻击、弱密码爆破攻击。病毒作者不断更新变种,是近期最活跃的挖矿蠕虫病毒之一。通过对该病毒进行了持续跟踪,御见威胁情报中心披露了该病毒的多个历史变种版本,并于7月2日再次检测到新的变种。
最新的BuleHero挖矿蠕虫新增4899端口爆破,增加了NSA武器,使该病毒在内网横向传播的能力得以加强,BuleHero挖矿蠕虫还会向目标电脑释放Gh0st修改版远控木马。
事实上,一旦攻击者爆破4899端口成功,就已经获得了服务器的完全控制权,入侵者再安装一个新的远控木马,可以实现远程控制双保险的目的:一旦被系统管理员发现清除,入侵者还有另一个远控手段可用。攻击者入侵后,还会释放门罗币挖矿程序,使服务器的资源被消耗挖矿,正常业务的运行会受到极大影响。
御见威胁情报中心监测到的BuleHero发展时间线:
序号 |
时间 |
所利用漏洞及攻击方式 |
特点 |
1 |
2018.8.10 |
Struts2漏洞、Weblogic漏洞 SQL Server 1433端口爆破和IPC$远程连接爆破、“永恒之蓝”漏洞攻击 |
首次被发现,因其使用C2域名a47.bulehero.in而命名为BuleHero。 |
2 |
2018.8.21 |
LNK漏洞(CVE-2017-8464,也被称为震网三代) |
攻击加速扩散 |
3 |
2019.3.11 |
新增Thinkphp5漏洞(CNVD-2018-24942)利用攻击 |
出现变种 |
4 |
2019.5.23 |
使用了不正确的CVE-2019-2725漏洞POC,实际攻击时会触发Weblogic另一漏洞CVE-2017-10271 |
再次出现变种 |
5 |
2019.7.2 |
增强版NSA武器(除了“永恒之蓝”,还使用“永恒浪漫”、“永恒冠军”)攻击,新增4899端口(远程桌面管理工具Remote Administrator使用的默认端口)爆破 |
最新变种 |
总结一下BuleHero挖矿蠕虫病毒的攻击方式,包括Windows系统漏洞、服务器组件漏洞和密码爆破攻击三大类:
Windows系统漏洞:
“永恒之蓝”、“永恒浪漫”、“永恒冠军”(MS17-010)、Lnk漏洞(CVE-2017-8464)(弃用)
服务器组件漏洞:
Apache Struts2远程代码执行漏洞(CVE-2017-5638)
WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)
Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)
Thinkphp V5漏洞(CNVD-2018-24942)
WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)(伪利用)
爆破攻击:
SQL Server 1433端口爆破(弃用)
IPC$远程连接爆破
4899端口爆破(新增)
BuleHero蠕虫病毒的漏洞利用列表(橙色为新增,灰色为已放弃)
二、详细分析
漏洞攻击后植入download.exe,该木马进行一步下载母体病毒upnpprhost.exe
(http[:]//fid.hognoob.se/upnpprhost.exe)
该母体病毒的历史文件名为:
wercplshost.exe
SunloglicySrv.exe
SecloginSvc.exe
HidregSvc.exe
Wdisetection.exe
upnpprhost.exe
upnpprhost.exe释放扫描模块、漏洞攻击模块、端口爆破模块对其他机器进行攻击,同时释放XMRig挖矿程序挖矿门罗币。
木马从从服务器获取配置文件cfg.ini,以更新保持最新版本。
http[:]//uio.hognoob.se:63145/cfg.ini
http[:]//uio.heroherohero.info:63145/cfg.ini
配置文件中包含以下信息:
升级节点1:upa1.hognoob.se
升级节点2:upa2.hognoob.se
母体病毒更新信息
版本:20190702
文件名:upnpprhost
文件大小:5427200
Download木马下载地址
http[:]//fid.hognoob.se/download.exe
矿池地址
pxi.hognoob.se:35791
pxx.hognoob.se:35789
上线地址
ReportUrl=185.164.72.143
ReportPort=57123
2.1 Mimikatz模块
释放mimikatz工具,抓取域用户登录密码
2.2 扫描模块
释放扫描模块,针对指定IP段进行扫描,保存易受攻击的IP地址到Result.txt中,供后续攻击使用
2.3 新增4899端口爆破
释放4899端口爆破工具Lamescan 3到windows目录下,传入usernamelist、passwordlist进行爆破攻击。4899端口是远程控制软件Remote Administrator服务端默认监听的端口,黑客通过扫描网络上存在(remote administrator)服务端监听端口使用空口令或弱口令的主机,爆破成功就可以获得远程电脑的完全控制权。
爆破时使用的用户名、密码字典分为内置和服务器下载两种方式,服务器上字典下载地址为:
http[:]//uio.hognoob.se:63145/uDic.txt
http[:]//uio.hognoob.se:63145/pDic.txt
目前该地址上保存字典有超过150个用户名,超过1000个密码,而且可以不断更新
2.4 增强NSA武器
原来的版本仅使用了NSA武器中的永恒之蓝、双脉冲星,最新版本新增利用永恒浪漫、永恒冠军进行攻击,新变种加入了漏洞检测工具Smbtouch来检测易受攻击的对象,使得漏洞攻击的威力大增。
漏洞攻击成功后执行Payload(AppCapture32.dll、AppCapture64.dll),在中招机器下载download.exe继续下载漏洞攻击模块对其他机器进行攻击、以及植入挖矿木马、远控木马。
2.5 挖矿
释放挖矿木马到C:\windows\temp目录下
矿机程序采用XMRig 2.14.1编译
连接矿池80.82.70.188:35791进行挖矿
2.6 Gh0st修改版远控木马
母体释放经Gh0st修改而成的远控木马到系统目录,并将其安装为随机名服务进行启动
连接C2地址haq.hognoob.se接受服务端远程控制
三、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞
XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,部分Weblogic漏洞修复建议如下:
CVE-2017-10271修复补丁地址:
https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
CVE-2019-2725补丁包下载地址如下:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline
4.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解。针对Remote Administrator软件服务端排查pDic表单中的弱口令
http[:]//uio.hognoob.se:63145/pDic.txt
5.使用腾讯御点拦截可能的病毒攻击(https://s.tencent.com/product/yd/index.html)
6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
IOCs
IP
172.105.237.113
185.164.72.143
139.162.13.92
C&C
185.164.72.143: 57123
Domain
a45.bulehero.in
a46.bulehero.in
a88.bulehero.in
upa1.hognoob.se
upa2.hognoob.se
fid.hognoob.se
uio.hognoob.se
haq.hognoob.se
q1a.hognoob.se
uio.heroherohero.info
a88.heroherohero.info
Md5
ccf5b663061e7e2755f8eed37e49b732
a354d2967229f4889d2e6fef7d53ef84
dfd58f4975c425428a039104fcaf2f39
c477a7ba1d489ed8ec4aa6508331aae0
95cd01437e89145d14a5e7fcfda57e56
2b4ac7b362261cb3f6f9583751708064
URL
http[:]//fid.hognoob.se/download.exe
http[:]//fid.hognoob.se/upnpprhost.exe
http[:]//uio.hognoob.se:63145/cfg.ini
http[:]//uio.heroherohero.info:63145/cfg.ini
http[:]//uio.hognoob.se:63145/uDic.txt
http[:]//uio.hognoob.se:63145/pDic.txt
矿池:
pxi.hognoob.se:35791
pxx.hognoob.se:35789
文件名:
wercplshost.exe
SunloglicySrv.exe
SecloginSvc.exe
HidregSvc.exe
Wdisetection.exe
upnpprhost.exe
参考链接:
https://www.freebuf.com/column/180544.html
https://www.freebuf.com/column/181604.html
https://www.freebuf.com/column/197762.html
https://www.freebuf.com/column/204343.html
在线咨询
方案定制