背景概述
近日,深信服漏洞團隊和終端安全團隊聯手通過信服雲安全防護體系捕獲一個針對雲主機可以進行雙系統挖礦的新型挖礦病毒,該病毒在入侵終端後會檢測並結束終端的安全防護軟體,具備一定的查殺對抗能力;且能夠隱藏自身進行掃描攻擊和挖礦。
根據威脅情報資訊,該病毒檔案關聯的相關域名是在今年6月才進行建立的:
樣本分析
執行流程:
1、啟動指令碼loader.sh
流程如下:
(1)清除安全軟體
(2)下載kworkers並啟動
(3)清空歷史命令記錄
2、啟動程式kworker
Kworker程式的功能是檢查並更新各功能元件,以及啟動挖礦程式dbus、攻擊程式autoUpdate、隱藏指令碼hideproc.sh、攻擊指令碼sshkey.sh。
(1)下載hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json並檢查
(2)配置檔案內容,可以發現該挖礦支援windows和linux兩個版本
(3)通過.{filename}_ver來標識檔案版本
(4)校驗.{filename}_ver檔案後,結束原有程式,下載新檔案並執行
(5) 啟動的程式包括dbus、autoUpdate、hideproc.sh及sshkey.sh
3、掃描及攻擊程式autoUpdate
掃描並攻擊192.168.0.0/16網段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等元件、服務或協議漏洞,以及國內使用者常用的泛微OA、致遠OA、通達OA、phpcms、discuz等服務。
(1)檢查並攻擊structs2和shiro服務
shiro服務
struts2服務
(2)掃描內網的http和https服務,識別以下服務是否存在漏洞
(3)檢查並攻擊dubbo
下載dubbo.jar和配置檔案check_lin.data,執行攻擊;
執行dubbo攻擊:
dubbo.jar檔案是攻擊測試程式,來自threedr3am的專案dubbo-exp
Dubbo反序列化一鍵快速攻擊測試工具,支援dubbo協議和http協議,支援hessian反序列化和java原生反序列化。
配置檔案check_len.data表明具體執行命令為下載loader.sh進行擴散;
(4)redis、mysql、postgres及smb
redis寫入計劃任務並執行
通過寫入mysql服務的master.dbo.xp_cmdshell來執行惡意命令
Postgres惡意命令
smb惡意命令
4、程式隱藏指令碼hideproc.sh
相關檔案包括hideproc.sh、processhide.c及libc2.28.so;
其中hideprocess.sh指令碼流程如下:
(1)安裝編譯環境
(2)下載processhide.c隱藏程式原始檔
(3)將原始檔編譯生成libc2.28.so
(4)將libc2.28.so新增到系統的ld.so.preload檔案,即啟動挖礦程式時自動載入該連結庫實現程式隱藏
5、攻擊指令碼sshkey.sh
該指令碼嘗試從bash_history、etc/hosts、ssh/kownhost及程式已有連線中提取該終端連線過的終端,如果可以成功連線則下載並啟動指令碼loader.sh。
入侵利用的漏洞和服務資訊
相關漏洞資訊
探測服務
深信服產品解決方案
【深信服EDR】深信服EDR整合SAVE人工智慧檢測引擎,擁有強大的泛化能力,可輕鬆查殺該病毒,建議及時升級最新版本,並接入安全雲腦,使用雲查服務及時檢測防禦新威脅,
【深信服下一代防火牆】可防禦此次事件所使用的漏洞, 建議使用者將深信服下一代防火牆開啟 IPS 防護策略,並更新最新安全防護規則,即可輕鬆抵禦此高危風險。
【深信服安全感知平臺】結合雲端實時熱點高危/緊急漏洞資訊,可快速檢出業務場景下的該次事件所使用的漏洞,並可聯動【深信服下一代防火牆等產品】實現對攻擊者IP的封堵。
【深信服安全雲眼】深信服安全雲眼針對此次事件所使用的漏洞已具備掃描能力,保障使用者安全。不清楚自身業務是否存在漏洞的使用者,可註冊信服雲眼賬號,獲取30天免費安全體驗。
註冊地址:http://saas.sangfor.com.cn
【深信服雲鏡】深信服安全雲眼針對此次事件所使用的漏洞已具備掃描能力,部署了雲鏡的使用者可以快速檢測網路中是否受該高危風險影響,避免被攻擊者利用。
【深信服安全運營服務】通過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。