Rocke Group團伙新挖礦變種AliyunMiner分析
0x0 背景介紹
近期,深信服安全團隊捕獲到Rocke Group黑產團伙運營的新挖礦病毒,該病毒通過ssh爆破、ssh免密登入、redis未授權訪問漏洞以及redis弱密碼爆破、jenkins遠端程式碼執行漏洞以及jenkins弱口令爆破和ActiveMQ遠端程式碼執行漏洞進行傳播的挖礦病毒。深信服安全團隊對該挖礦木馬進行了詳細的技術分析,並根據其傳播域名特徵將其命名為AliyunMiner。
0x1 現象分析
機器上存在惡意的定時任務/var/spool/cron/crontabs/root
存在惡意啟動項sshservice
/etc/crontab以及/etc/bashrc中被寫入惡意命令
命令進行訪問,可以看到aliyun.one頁面上放置了惡意的程式碼(手動訪問會跳轉到阿里雲官網)
0x2 病毒邏輯詳細分析
1. 病毒為go語言編譯而成,並且使用了變異的UPX加殼逃避殺軟,該病毒母體使用了5個主要的package
github.com/hippies/LSD/LSDA——病毒相關配置初始化
github.com/hippies/LSD/LSDB——檔案釋放
github.com/hippies/LSD/LSDC——Linux許可權維持
github.com/hippies/LSD/LSDD——攻擊與傳播包
Main——攻擊入口點
2.github.com/hippies/LSD/LSDB——檔案釋放
2.1 釋放劫持庫檔案到/usr/local/lib/xxx.c,然後進行編譯
該劫持庫原始碼被gzip格式壓縮打包在病毒檔案中,32位程式這裡可以使用binwalk進行提取,64位手動提取。
將該so路徑寫入/etc/ld.so.preload檔案,實現libc預載入,達到劫持的目的。該so主要劫持函式如下表
2.2 建立sshservice啟動項github_com_hippies_LSD_LSDB_NetdnsWrite
釋放服務bash模板檔案到/etc/init.d/sshservice,該bash文同樣被gzip格式壓縮打包在病毒檔案中,建立sshservice系統服務
釋放Systemd配置檔案到以下三個目錄,建立sshservice的Systemd服務
2.3 釋放挖礦github_com_hippies_LSD_LSDB_KWR
挖礦程式同樣也被gzip壓縮打包在病毒中,按順序解壓並釋放到以下其中一個目錄,執行後刪除自身檔案
從其配置檔案可以看出,該挖礦病毒進行門羅幣挖礦,並且其使用了兩中連線方式,一種是代理礦池,另一種是直接連線礦池進行挖礦。
目前該礦池總共收益2.7個幣
3. Github.com/hippies/LSD/LSDC——linux許可權維持
3.1 獲取用於建立定時任務時所需要的域名
3.2 遮蔽其他組織的惡意域名
向/etc/hosts檔案中寫入對應的IP-域名對,實現遮蔽。這裡針對的主要是web2tor節點以及對應的一些礦池
3.3 執行下載bash命令,建立定時任務,汙染bastrc檔案實現啟動
汙染的bashrc,執行的pygo檔案為python檔案
4. github.com/hippies/LSD/LSDD——攻擊與傳播包
4.1 github_com_hippies_LSD_LSDD_Arun
利用ssh爆破實現自身的傳播,用到了1000個密碼對root賬戶進行爆破,下表只列出部分密碼
4.2 github_com_hippies_LSD_LSDD_Brun
利用Redis未授權訪問、 Redis弱口令爆破,將惡意bash寫入定時任務檔案,實現感染
爆破成功,設定redis資料庫資料
寫入如下惡意bash資料到定時檔案
4.3 github_com_hippies_LSD_LSDD_Crun
利用Jenkins遠端程式碼執行漏洞實現感染
對Jenkins進行弱密碼爆破實現感染,僅列出部分密碼對
4.4 github_com_hippies_LSD_LSDD_Drun
ActiveMQ任意檔案寫入漏洞(CVE-2016-3088),本次樣本中其會將檔案上傳並且移動到Linux定時任務檔案,實現感染
5. 關聯分析:
5.1 域名IP關聯
通過aliyun.one可以關聯到systemten.org域名
systemten.org在之前已經被指出為kerberods挖礦病毒,通過對kerberods的感染方式,許可權維持等方式進行對比,可以確認本次的aliyun.one與kerberods挖礦家族為同一個團體在運營。該團隊在之前被Unit42團隊披露為Rocke Group黑產團伙。
5.2 差異對比
0x3 感染方式
1、ssh弱口令爆破
2、ssh免密登入
3、redis未授權訪問漏洞
4、redis弱口令爆破
5、Jenkins弱口令爆破
6、Jenkins遠端程式碼執行漏洞(CVE-2018-1000861、CVE-2019-1003000)
7、ActiveMQ任意檔案寫入漏洞(CVE-2016-3088)
0x4 防護
1、更改密碼為強密碼,密碼每個機器不同
2、ssh免密登入要嚴格控制機器
3、加強redis防護,開啟redis的密碼驗證,且密碼更換未強密碼
4、檢測是否存在Jenkins弱密碼,修改密碼未強密碼
5、檢測是否存在jenkins遠端程式碼執行漏洞並進行修復
6、檢測是否存在ActiveMQ任意檔案寫漏洞。
7、檢測是否存在Confluence未授權訪問漏洞(CVE-2019-3396)
0x5 IOC
F81137FF4ED563101B3ACB8185CF16D5AF89C9E5
52AA4166F256495250C9191670DB258794059277
update.iap5u1rbety6vifaxsi9vovnc9jjay2l.com
x64.iap5u1rbety6vifaxsi9vovnc9jjay2l.com
cron.iap5u1rbety6vifaxsi9vovnc9jjay2l.com
aliyun.one
pool.supportxmr.com
sg.minexmr.com
iap5u1rbety6vifaxsi9vovnc9jjay2l.com
img.sobot.com/chatres/89/msg/20191225/1/ec0991da601e45c4b0bb6178da5f0cc4.png
img.sobot.com/chatres/89/msg/20191225/1/50659157a100466a88fed550423a38ee.png
cdn.xiaoduoai.com/cvd/dist/fileUpload/1577269944760/2.637890910155951.png
cdn.xiaoduoai.com/cvd/dist/fileUpload/1577269966297/8.872362655092918.png
https://user-images.githubusercontent.com/56861392/71443284-08acf200-2745-11ea-8ef3-509d9072d970.png
https://user-images.githubusercontent.com/56861392/71443285-08acf200-2745-11ea-96c3-0c2be9135085.png
0x6 錢包地址
48tKyhLzJvmfpaZjeEh2rmWSxbFqg7jNzPvQbLgueAc6avfKVrJFnyAMBuTn9ZeG4A3Gfww512YNZB9Tvaf52aVbPHpJFXT
0x7 Ref
https://v2ex.com/t/624351
https://www.f5.com/labs/articles/threat-intelligence/vulnerabilities--exploits--and-malware-driving-attack-campaigns-in-december-2019
https://blog.trendmicro.com/trendlabs-security-intelligence/cve-2019-3396-redux-confluence-vulnerability-exploited-to-deliver-cryptocurrency-miner-with-rootkit/
https://unit42.paloaltonetworks.com/rockein-the-netflow/
相關文章
- 《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網路日趨多見
- 換湯不換藥!BlueHero挖礦團伙又雙叒發新版本
- 騰訊安全:Agwl病毒團伙盯上Linux系統,挖礦、DDoS、刪庫勒索無惡不作Linux
- 以太坊原始碼分析(42)miner挖礦部分原始碼分析CPU挖礦原始碼
- 區塊鏈挖礦演變史,一鍵挖礦逐漸成主流區塊鏈
- 挖礦病毒分析(centos7)CentOS
- 以太坊原始碼分析(16)挖礦分析原始碼
- go-ethereum原始碼解析-miner挖礦部分原始碼分析CPU挖礦Go原始碼
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- 死磕以太坊原始碼分析之挖礦流程分析原始碼
- EPK怎麼挖礦?EPK挖礦教程詳情
- defi質押挖礦機制|LP流動性挖礦系統開發[規則分析]
- “小馬啟用”病毒新變種分析報告
- MDEX挖礦系統開發/MDEX流動性挖礦系統開發(程式碼原理分析)
- 支援雙系統挖礦,警惕新型挖礦病毒入侵
- PAXG質押挖礦節點系統開發/dapp單雙幣挖礦/流動性挖礦/詳情說明/案例分析/原始碼部署APP原始碼
- IPP SWAP新型LP挖礦玩法模式專案分析模式
- IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情APP
- IPP挖礦技術開發/Defi挖礦/IPPswap理財挖礦系統開發元件解析元件
- 新的勒索軟體團伙 — Haron和BlackMatter開始行動
- 比特幣如何挖礦(挖礦原理)-工作量證明比特幣
- IPFS/Filecoin挖礦流程
- 門羅挖礦JSJS
- NCC Group釋出報告稱PYSA和LockBit是11月最活躍的勒索軟體團伙
- 新的加密貨幣挖礦病毒感染臉書Messenger加密Messenger
- DeFi 質押挖礦系統丨DeFi 質押挖礦系統
- Avive World算力挖礦系統開發|中本聰模式挖礦案例模式
- IPFS挖礦開發解決方案及IPFS礦機挖礦原理及最優規劃
- ARB鏈上質押挖礦系統開發方案分析
- ULAB質押挖礦系統開發詳情分析
- DAPP燃燒挖礦系統開發技術分析APP
- Hadoop Yarn REST API未授權漏洞利用挖礦分析HadoopYarnRESTAPI
- 利用WMI命令入侵挖礦,新型挖礦病毒Audliodg持續活躍中
- Avive世界挖礦(vv)系統搭建開發|中本聰挖礦模式開發模式
- 樹莓派上使用螞蟻礦機挖礦樹莓派
- Filecoin: 挖礦流程掃盲
- linux挖礦處置Linux
- 快速定位挖礦木馬 !