0x0 背景

近日深信服安全團隊通過威脅情報的知識圖譜系統跟蹤到大量BlueHero挖礦團伙的活動記錄，該團伙利用的“肉雞”數量逐漸增多且頻繁更換具有英語短語的URL，主要使用主流的Web RCE漏洞進行網際網路傳播。近一個月以來累計監測到數百個IP地址發起的惡意攻擊資料包流量，該病毒樣本在內網同時採用“永恆之藍”漏洞、弱密碼爆破進行傳播，過程中的病毒樣本與之前相比呈現出差異性新增了驅動程式等特點。 

0x1 流量特徵

該團伙主要採用Apache Struts 遠端程式碼執行漏洞、WebLogic Server wls9-async 遠端程式碼執行漏洞、ThinkPHP5 任意程式碼執行漏洞、Drupal Drupalgeddon2 遠端命令執行漏洞等進行傳播，且主要針對常見的web埠（82  80  7001  443  8000  81  8080）並將一串惡意連線命令寫入對應的payload欄位當中。如果被攻擊目標存在脆弱性將會從網際網路上下載並執行對應程式從而被感染。

在windows場景下主要使用powershell.exe  certutil.exe從網際網路上下載樣本母體download.exe後直接執行，儲存在本地的常見路徑為為C: windows/temp 或%systemroot%/temp.

利用S2傳播的payload資料包欄位如下：

從資料流量與過程中的ini配置檔案來看，該團伙在網際網路上十分活躍且更新較為頻繁，檔案的大小從4085248KB增加到目前的7300096KB攻擊傳播模組元件豐富 檔案母體的命名一直都是download.exe未曾發生變化。

2020年2月份配置檔案：

2019年8月份配置檔案：

2019年3月份的配置檔案如下：

0x2 樣本分析

該團伙的主要入口點樣本為download.exe在執行後釋放檔案C:\Users\G4rb3n\AppData\Local\Temp\cnmbd.exe並建立程式。

這個病毒檔案是Gh0st遠控，它會自複製到多個路徑併為其新增任務計劃及服務。

然後從C&C伺服器下載傳播模組lanmktmrm.exe。

跟之前的變種相似，Corporate下的是mimikatz工具，隨機名資料夾neiulgfnd下的是s掃描器和masscan掃描器，UnattendGC則是“永恆之藍”攻擊包。

除了對內網進行爆破/永恆之藍攻擊以外，傳播模組還會對公網的指定B段、C段IP進行攻擊。

各個漏洞攻擊的payload硬編碼在傳播模組中。

利用瞭如下方式進行傳播

PHPStudy後門

永恆之藍漏洞

弱密碼爆破

Apache Struts2遠端程式碼執行漏洞【CVE-2017-5638】

ThinkPHP5任意程式碼執行漏洞【CNVD-2018-24942】

Oracle Weblogic Server遠端命令執行漏洞【CVE-2018-2628/CVE-2019-2725】

Drupal Drupalgeddon2遠端命令執行漏洞【CVE-2018-7600】

Apache Solr漏洞【CVE-2019-0193】

Tomcat漏洞【CVE-2018-12615】

bcbeuy.exe是封裝的XMRig挖礦程式，同目錄還新增了一個名為WinRing0x64.sys可疑驅動。

WinRing0x64.sys的驅動的核心程式碼如下：

0x3 加固建議

深信服安全團隊提醒廣大使用者，注意日常防範措施：

1、及時給電腦打補丁，修復漏洞。

2、對重要的資料檔案定期進行非本地備份。

3、深信服防火牆客戶，建議升級到AF805版本，並開啟人工智慧引擎Save，以達到最好的防禦效果。

4、使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅。

5、深信服推出安全運營服務，通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。推薦使用深信服安全感知+防火牆+EDR，對內網進行感知、查殺和防護。

IOC：

URL：

http://ero.bckl.ir/download.exe

http://cb.fuckingmy.life

http://mi.simimasai.fun

http://fk.openyourass.xyz/download.exe

http://194.180.224.106/download.exe

http://ae86.decode0x.site:63145/cfg.ini

http://194.180.224.106:63145/cfg.ini

http://ae86.decode0x.host:63145/cfg.ini

qlo.amqw.ir

fk.openyourass.icu

ae86.decode0x.pw

ae86.decode0x.online

ae86.decode0x.host

ae86.decode0x.site

fk.openyourass.xyz

CC  IP：

194.180.224.106

Md5:

download.exe       AC4C9C3934102BFDC3BFAC36420272A8

lanmktmrm.exe    805AB39690FFD07CF2AB558D2B514306

bnczbtntl.exe        7672877800A4D7ADED0CA75F88432A25

vfshost.exe      1F2E820A81AE38E9E8DC173975AB57A6

fuacnkpp.exe   EA774C81FE7B5D9708CAA278CF3F3C68

dayvtvliy           8BD2C5E849ABC51E721568871E670DFC

spoolsrv.exe     22BB1452CA9BC4B8D346368D3F4DB6C2