警惕跨平台挖矿木马SysupdataMiner利用多个漏洞攻击传播

2020-03-06 13:28:31
腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播,然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。

一、背景

近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播,然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。

在感染的机器上,SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载,会通过多种特征检测其他挖矿木马并进行清除,然后下载门罗币挖矿木马sysupdata并启动。为保证挖矿程序在系统长久驻留,该木马会下载守护模块sysguerd,实时检测挖矿进程是否存活,发现失活则重新启动,若挖矿程序文件不存在,会重新下载运行。

SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件,可进行跨平台攻击,其使用的漏洞攻击模块networkservics会针对全网段IPWeblogic(7001)Redis(6379/6380)Spring(8080)SqlServer(1433)Hadoop(8088)Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。

SysupdataMiner挖矿木马的攻击流程


二、样本分析

1.核心脚本Updata.sh

SysupdataMiner在感染机器执行shell脚本init.sh,后续攻击过程中会通过定时任务反复下载执行updata.shupdata.sh目前与init.sh相同,是攻击过程中的主要脚本,负责下载启动挖矿模块、漏洞攻击模块、进程守护模块,以及利用PnscanMasscan扫描Redis服务并进行弱口令爆破攻击。

updata.sh检查进程中是否存在载阿里云骑士和腾讯云镜,如存在则下载对应卸载程序进行卸载。


通过匹配预先搜集的矿池地址、端口、进程路径、文件名、钱包地址的方式,检测其他挖矿进程并清除。


安装Crontab定时任务每30分钟执行一次脚本updata.sh


配置/root/.ssh/authorized_keys使得当前Linux机器可以免密登陆SSH


挖矿模块sysupdata

核心脚本updata.sh下载门罗币挖矿木马sysupdata,该木马由开源挖矿程序XMRig编译,并通过添加UPX壳进行保护。


挖矿时使用矿池:

xmr.f2pool.com:13531

randomxmonero.hk.nicehash.com:3380

钱包:

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr


其中第一个钱包已挖矿获得门罗币90个,当前市价折合人民币42000余元。


脚本继续下载启动守护模块sysguerd,该模块负责实时检测挖矿进程是否存活,发现进程不存在则重新下载攻击脚本执行,重启挖矿和攻击进程。



攻击模块networkservics

核心脚本下载启动扫描攻击模块networkservics,针对Weblogic(7001)Redis(6379/6380)Spring(8080)SqlServer(1433)Hadoop(8088)Elasticsearch(9200)等多个服务器组件的漏洞进行扫描和攻击。


待扫描的IP列表为http[:]//178.157.91.26/ec8ce6ab/ips_cn.txt,覆盖1.0.1.0~223.255.253.255全网段的IP地址


针对存在漏洞的目标机器,使用对应组件的远程代码执行漏洞进行攻击。


updata.sh本身还会利用本机登录使用SSH其他Linux系统产生的记录/root/.ssh/known_hosts/root/.ssh/id_rsa.pub重新登录目标系统,并在登录后执行脚本is.sh进行感染。


is.sh接着安装扫描工具PnscanMasscan针对全网段IP范围进行6379端口(Redis服务)扫描,并尝试使用以下弱口令进行爆破登录:

redis
root
oracle
password
p@aaw0rd
abc123
abc123!
123456
admin


三、跨平台攻击

对木马服务器178.157.91.26上存放的文件进行分析,可以发现SysupdataMiner会针对Windows系统与Linux系统执行相似流程的攻击,只是将Linux系统的Shell脚本替换为了相应的Powershell脚本,可执行样本文件由ELF文件替换为PE文件,持久化攻击时由安装crontab定时任务变为安装SchTasks.exe计划任务。


四、安全建议

腾讯安全专家建议企业网络管理员参考以下指引加固服务器:

1.     Redis添加强密码验证,切勿使用弱口令;

2.     SSH非交互方式登录到远程服务器时,设置主机公钥确认StrictHostKeyChecking的值为askyes,避免历史SSH登录记录被病毒利用,形成内网扩散;

3.     定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;

4.     推荐使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测企业网络资产是否受安全漏洞影响。

腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。


企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)。


5.     推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta


IOCs

IP

178.157.91.26

45.137.151.106

Md5

e3d0432180db8c901874b518b28e0ec2

291dd7d9a2062d07976b14f7d9683d35

0813a0630f866571310be9ba3e42a9c5

8a80faa8369404d362104eff0720bf62

2b816fd2ff992e07f3f9fb3f27787c8a

0784af35182af63691d420a2af9d2b09

c74e02044b96d157d214e9871a09531a

da518ae458f4651f350094bc871b12c8

435f4fcc9f058edeb8be5428a83172b0

36ba07d8ce707c063b334bbd674650d2

URL

http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.ps1

http[:]//45.137.151.106/ec8ce6abb3e952a85b85/init.sh

http[:]//178.157.91.26/ec8ce6ab/is.sh

http[:]//178.157.91.26/ec8ce6ab/rs.sh

http[:]//178.157.91.26/ec8ce6ab/sysupdata

http[:]//178.157.91.26/ec8ce6ab/networkservics

http[:]//178.157.91.26/ec8ce6ab/updata.sh

http[:]//178.157.91.26/ec8ce6ab/sysguerd

http[:]//178.157.91.26/ec8ce6ab/sysupdata.exe

http[:]//178.157.91.26/ec8ce6ab/networkservics.exe

http[:]//178.157.91.26/ec8ce6ab/updata.ps1

http[:]//178.157.91.26/ec8ce6ab/sysguerd.exe

http[:]//178.157.91.26/ec8ce6ab/clean.bat

矿池:

xmr.f2pool.com:13531

randomxmonero.hk.nicehash.com:3380

钱包:

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr

最新资讯