BuleHero挖矿蠕虫攻击分析 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

系统安全

BuleHero挖矿蠕虫攻击分析

2020-09-28 15:30:08

所属地广东省

一、背景

腾讯安全威胁情报中心研究人员在日常巡检中发现，有攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。

进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。

该团伙擅长利用各类Web服务器组件漏洞进行攻击，包括：Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法，攻击成功后，会在目标机器植入门罗币挖矿木马和远控木马。

二、详细分析

腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞（CVE-2019-0193）攻击流量，该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。

2019年08月01日Apache官方发布Apache Solr远程代码执行漏洞（CVE-2019-0193）安全通告，Apache Solr DataImport功能在开启Debug模式时，可以接收来自请求的"dataConfig"参数，在dataConfig参数中可以包含script恶意脚本导致远程代码执行。官方通告如下：https://issues.apache.org/jira/browse/SOLR-13669

腾讯云防火墙对该漏洞利用及时进行阻断，客户服务器资产未遭受损失。

腾讯安全研究人员对Payload进行分析后，确认该攻击事件属于BuleHero挖矿蠕虫病毒，此次变种新增了SMBGhost（CVE-2020-0796）漏洞利用代码。

download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。

SesnorDateService.exe在Windows目录下创建文件

C:\Windows\<random>\EventisCache\divsfrsHost.exe，并释放SMBGhost漏洞攻击程序divsfrsHost.exe。

漏洞攻击代码采用开源程序

https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/exploit.py

生成，并利用Pyinstaller打包生成exe可执行程序。

此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击：

Apache Struts2漏洞【CVE-2017-5638】
WebLogic 漏洞【CVE-2018-2628】
WebLogic 漏洞【CVE-2017-10271】
Thinkphp5漏洞【CNVD-2018-24942】
Tomcat漏洞【CVE-2017-12615】
Drupal漏洞【CVE-2018-7600】