威胁研究正文

跨平台蠕虫HolesWarm利用20余种漏洞武器攻击Windows、Linux系统,腾讯云防火墙可拦截

2021-07-12 08:24:41

跨平台蠕虫HolesWarm利用20余种漏洞武器攻击Windows、Linux系统,腾讯云防火墙可拦截。

一、概述

腾讯云防火墙捕获一款名为HolesWarm的跨平台蠕虫病毒,该蠕虫病毒近期扩散十分迅速,所利用的漏洞武器在短短一个月的时间里就超过20种,堪称“漏洞利用王者”。自6月上旬以来,HolesWarm已造成多次入侵高峰,累计攻陷云主机过千台,已部署腾讯云防火墙的主机均成功防御威胁。被攻陷的系统除被控制挖矿,还可能被窃取帐号密码信息,甚至服务器被完全控制,腾讯安全专家提醒政企客户尽快修复相关网络组件的高危漏洞。


经分析,HolesWarm病毒会利用国内使用率较高的网络组件高危漏洞攻击传播,包括国内常用的用友、致远等办公组件,以及Tomcat、Weblogic、Shiro、Structs2、XXL-JOB、Spring boot、Jenkins等20余个网络组件均受影响,攻击者接受云控服务器指令不断更新攻击模块和攻击目标。

{xunruicms_img_title}

由于HolesWarm病毒在较短时间内,已变换了20多种攻击手法,失陷云主机数量整体仍呈上升态势,腾讯安全专家建议政企机构运维人员积极修复相关网络组件的高危漏洞,以避免服务器沦为黑客控制的肉鸡。


腾讯云防火墙近期成功拦截HolesWarm病毒发起的攻击活动,部分拦截案例:


利用Hadoop Yarn 未授权命令执行漏洞攻击:

{xunruicms_img_title}


利用用友GRP-U8 注入-命令执行漏洞攻击:

{xunruicms_img_title}


利用Struts2 RCE命令执行漏洞攻击:

{xunruicms_img_title}


利用XXL-JOB未授权添加任务命令执行漏洞攻击:

{xunruicms_img_title}


HolesWarm病毒会同时攻击Windows、Linux平台主机,最终控制失陷系统进行门罗币挖矿牟利。


HolesWarm病毒会在二进制文件末尾添加时间戳,使恶意文件的MD5不断变化,从而对抗针对文件MD5的安全检测。


针对Windows平台,恶意程序模块注入系统应用以隐藏进程,针对Linux平台进行系统so预加载库劫持,目的是保护隐藏恶意进程,使恶意文件不被运维人员发现。


HolesWarm病毒会对已入侵的Windows主机LSASS进程dump后上传分析,其目的是窃取失陷系统的用户名密码等关键数据。同时尝试对已入侵的Linux主机使用历史ssh连接以实现远程控制。


腾讯安全全系列产品已支持检测、拦截跨平台蠕虫HolesWarm的攻击活动。

{xunruicms_img_title}

二、腾讯安全解决方案

跨平台蠕虫HolesWarm相关威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。


腾讯主机安全(云镜)可对HolesWarm病毒攻击过程中产生的木马落地文件进行检测清除,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

{xunruicms_img_title}


腾讯云防火墙已支持对HolesWarm病毒所利用的多种高危漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率较高的漏洞利用,完美拦截攻击者利用高危漏洞发起的恶意攻击行为。

{xunruicms_img_title}


私有云客户可通过旁路部署腾讯高级威胁检测系统(御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(御界)可检测到HolesWarm病毒发起的恶意攻击行为。

{xunruicms_img_title}


企业客户可通过旁路部署腾讯天幕(NIPS)实时拦截HolesWarm病毒的网络通信,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。


腾讯漏洞扫描服务已全面支持检测、修复HolesWarm病毒所利用的相关组件高危漏洞。

三、详细分析

恶意代码初始攻击脚本如下,Linux平台下将windowsupdatesupport恶意载荷下载安装到本地~/.git/kworkers,针对Windows平台则植入名为Service.exe的恶意载荷。

{xunruicms_img_title}


kworkers模块会进一步解析m.windowsupdatesupport.org地址,获取其恶意攻击模块配置信息:hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json


通过拉取、更新其它恶意模块,HolesWarm病毒会在安装恶意模块的同时,记录恶意模块同名文本保存配置中的版本信息,当云配置版本较新时,会结束相应模块进程更行自动更新。


腾讯安全威胁情报中心发现,黑产团伙控制的模块配置信息变化迅速,表明攻击者正在频繁更新攻击方式方法。


在2021年7月7日的配置中,包含了针对Linux、Windows系统的11个恶意模块信息。

{xunruicms_img_title}


值得注意的是,HolesWarm病毒会在更新二进制可执行程序模块的尾部加入时间戳,使得每次下发的恶意文件MD5随机变化,以此逃避安全检测。


Linux版本的autoupdate和windows版本autoupdate.exe,其本质为具有后门功能的蠕虫模块,该模块接受云控指令开启漏洞扫描进行攻击传播。


云控任务拉取地址:hxxp://m.windowsupdatesupport.org/task_scheduler,当前下发任务为对指定IP地址段进行扫描攻击,进行大面积的高危端口扫描探测,以利用漏洞实现横向传播。

{xunruicms_img_title}


腾讯安全专家分析发现,跨平台蠕虫HolesWarm的漏洞攻击方式十分丰富,目前的版本已使用超过20种漏洞武器,且仍有进一步增加的趋势:

  • 用友bsh.servlet.BshServlet 命令执行攻击

  • 用友GRP-U8注入-命令执行攻击

  • 泛微OA E-cology Bsh 命令执行攻击

  • 致远OA htmlofficeservlet任意文件写入攻击

  • 致远OA-ajax.do文件上传漏洞攻击

  • Docker未授权命令执行攻击

  • Jenkins 未授权命令执行攻击

  • Tomcat 爆破攻击

  • Weblogic RCE远程执行攻击( CVE-2020-14882)

  • Spring boot actuator RCE

  • Shiro 反序列化 RCE

  • Struts2全系列(s008-s057)的漏洞利用攻击

{xunruicms_img_title}


而Windows版本的病毒会释放procedump尝试dump系统lsass.exe进程(procdump.exe -accepteula -ma lsass.exe C:\*/1.dmp),再打包上传,其意图为通过dump LSASS进程,窃取内存数据,再结合其它方法(例如Mimikatz)以破解失陷系统的明文密码,以便进一步对失陷网络的其它计算机进行入侵渗透活动。


LSASS进程dump文件的上传地址:

hxxp://m.windowsupdatesupport.org/uploader


而入侵linux系统的病毒会在hideproc.sh动态下载编译进程隐藏so库,并将其写入系统与加载配置项,目的为保护kworkers|dbus|autoupdate恶意模块进程,使文件不被运维人员发现。


sshkey.sh进行SSH横向扩散传播,二次传播恶意初始入侵脚本loader.sh。


Linux下的dubs和Windows下的Updater.exe则为门罗币矿机程序,进行私有矿池门罗币挖掘。矿池地址:m.windowsupdatesupport.org。


7月12日观察发现,最新的木马配置已更新,在其下发模块Windows内增加了两个全新的模块:

{xunruicms_img_title}


其中Inj.exe为代码注入器,Runtime.dll为被注入恶意目标DLL,攻击者意图对Windows应用程序进行DLL注入,随后对NtQuerySystemInfomation进行hook,最终实现Windows平台下的恶意模块进程的隐藏。

{xunruicms_img_title}

四、威胁视角看攻击行为

ATT&CK阶段

行为

侦察

通过云控指定IP段,扫描IP端口,确认可攻击目标存在的Web服务:HadoopXXL-JOBWeblogicShiroJenkins等。

资源开发

注册C2服务器,同时对已入侵的服务器植入蠕虫模块进一步扩散传播

初始访问

利用对外开放的Web服务,植入恶意Payload执行恶意命令进而入侵系统

执行

首先植入恶意脚本执行恶意命令,随后下载植入ELFPE蠕虫、挖矿模块

持久化

利用计划任务实现持久化驻留

防御规避

使用MD5随机,so劫持,dll注入hook等方法进行防御规避,文件隐藏,进程隐藏

发现

通过扫描目标web服务信息以确认后续攻击方式

影响

蠕虫模块长时间的扫描,门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

IOCs

MD5:

dac8ab3fce07d71a63ded7a242e8f7ca

28edd00e7c4aae21a36f03200543cb76

dc076a1bd9cb0884806bc1ce95883f24

730fb51f0ad5ce4b117d6f55aa2b7b2f

af07c4e9f9b6046a183d21b55bc4eaff

4a476f21d8b5b14dfcd26445733fa934

1295507537170a526985e1a40250ed36

b40eb4629d612ad14a20ed2f8fe0ba6e

5fb1d8d515f9cf17102772a4bc023e78

aab908e2a6cceef413585d706a36ce84

a27464091de777b531a44e1bed0d8cf4


URL:

hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json

hxxp://m.windowsupdatesupport.org/task_scheduler

hxxp://m.windowsupdatesupport.org/uploader

hxxp://m.windowsupdatesupport.org/d/loader.ps1

hxxp://m.windowsupdatesupport.org/d/loader.sh


DOMAIN:

m.windowsupdatesupport.org


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询