freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    利用AapcheStruts高危漏洞入侵的双平台挖矿木马
    2018-12-07 11:16:37

    一、背景

    近期御见威胁情报中心发现针对Windows和Linux服务器攻击的挖矿木马,御见威胁情报中心蜜罐系统部署了存在Aapche Struts2-045(CVE-2017-5638)漏洞的Linux服务器,攻击者通过该漏洞进入蜜罐机器,添加恶意脚本代码到计划任务并植入了挖矿木马。

    分析发现,在恶意脚本代码的FTP服务器上还存在Windows版和Linux版的PHP木马,PHP木马传播的针对不同系统的挖矿木马,且最终均使用了相同的矿池及钱包。该挖矿木马在运行时,会检查系统有没有其他挖矿进程运行,如果有就结束掉,确保自己独占挖矿资源。

    御见威胁情报中心对该病毒进行溯源,发现这次入侵传播Windows、linux双平台挖矿木马的病毒团伙和之前友商命名的8220团伙为同一伙人。8220团伙曾利用Web服务器安全漏洞入侵企业内网,传播GandCrab勒索病毒和挖矿木马。可参考《“8220团伙”最新活动分析:挖矿木马与勒索病毒共舞》

    1.png

    2.png

    继续检查发现蜜罐机器上被添加一个计划任务,每分钟下载执行脚本代码

    hxxp://93.174.93.149/logo8.jpg,且该计划任务被启动时USER为tomcat。

    3.png

    对该蜜罐机器的tomcat web相关日志进行分析,找到利用Aapche Struts2-045(CVE-2017-5638)漏洞入侵的相关记录。日志显示,基于Jakarta Multipart解析器执行文件上传时,接收到攻击者构造的漏洞利用代码导致RCE,随后logo8.jpg被下载到/tmp目录并通过bash命令执行,最后logo8.jpg被删除。

    4.png

    Apache Struts是一款用于创建企业级Java Web应用的开源框架,ApacheStruts2存在S2-045远程代码执行漏洞,远程攻击者利用该漏洞可直接取得网站服务器控制权。

    二、脚本分析

    Logo8.jpg(shell)创建目录/tmp,断开与以下地址的网络连接

    27.155.87.59

    104.160.171.94

    170.178.178.57

    91.236.182.1

    52.15.62.13

    121.18.238.56

    103.99.115.220

    213.32.29.143

    5.png

    清理当前主机的其他挖矿进程,清除挖矿文件

    minerd、xmr、xmrig等,清除脚本文件nu.sh,tdd.sh等

    6.png

    清理/tmp/j*相关文件

    7.png

    将挖矿进程r1x结束,然后通过计算文件MD5与5fc34986f39711c178161699260bba85对比,判断挖矿文件/tmp/r1x是否为最新文件。


    8.png

    若文件不是最新版本则尝试从两个地址下载挖矿木马。


    9.png

    10.png

    然后下载挖矿配置文件xd.json,并调用nohup后台执行挖矿进程。

    11.png

    18.jpg

    检查计划任务中是否包含地址93.174.93.149,如果不存在则添加通过curl或wget下载脚本logo8.jpg执行的计划任务。


    12.png

    挖矿配置文件xd.json。

    13.png

    配置文件显示挖矿时使用三个矿池:

    54.36.137.146:3333

    gulf.moneroocean.stream:80

    37.59.162.30:3333

     

    共用一个钱包:

    46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

     

    从moneroocean.stream可以查询到该钱包部分收益,目前已挖矿获得5个XMR,且可以看到以当前的hash速率,每日的收益为0.131960 XMR/$7.65/day,也可以推算出这个钱包的上线时间到目前为40天左右。

    14.png

    三、关联分析

    通过其C&C反查发现其21端口(FTP服务)处于开放状态,且不需要密码即可访问,登录该FTP服务器发现在其上还存在Liunx版本以及Windows版本的PHP木马文件,攻击者将这些PHP木马上传至存在漏洞或缺陷的网站服务器上并利用其进一步植入其他病毒。其中win.php、task.php传播windows版本的挖矿程序,linx.php传播Linux版本的挖矿程序。

    15.png

    Windows版

    win.php(task.php)被上传至服务器执行后,会下载执行powershell脚本SchTasks.ps1


    16.png

    powershell脚本SchTasks.ps1下载挖矿木马whdtasks.exe,拷贝到TMP目录并命名为hihu.exe,然后将SchTasks.ps1添加为计划任务执行。

    17.png

    接着清除已知的挖矿木马进程和杀软进程以及iexplorer.exe:

    yam.exe
    miner.exe
    xmrig.exe
    nscpucnminer32.exe
    nscpucnminer64.exe
    1e.exe
    iie.exe
    taskhostxz.exe
    3.exe
    iee.exe
    ie.exe
    je.exe
    im360sd.exe
    iexplorer.exe
    imzhudongfangyu.exe
    360tray.exe
    360rp.exe
    360rps.exe
    pe.exe

    18.jpg

    最后执行木马程序hehe.exe(根据前面代码应该执行hihu.exe,此处可能是作者失误或者故意写错)。

    19.png

    hehe.exe拷贝自身到ProgramData目录,从93.174.93.149下载挖矿配置文件new.txt,并将其通过base64加密后写入cfg文件,可以看到挖矿配置文件中的矿池地址和钱包与Liunx挖矿木马中所使用的相同。

    20.png

    hehe.exe启动notepad.exe并将挖矿代码注入,利用该傀儡进程进行挖矿。


    21.png

    Linux版

    Linx.php被上传至服务器执行后,下载.lib64x.tar.gz到/tmp/目录中,并执行initall进行安装。

    22.png

    压缩包中包含linux版本挖矿木马xmrig

    23.png

    最后通过run.sh启动挖矿进程,挖矿时使用的矿池和钱包与前述的挖矿木马相同。

    24.png

    四、家族信息

    该C2域名(93.174.93.149)由御见威胁情报中心于10月11日首次披露

    https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg

    文章发现木马团伙使用的某个钱包与友商发布的“8220”挖矿木马团伙相同:

    4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

     

    而本文发现的恶意脚本代码与“8220”挖矿木马团伙所使用的脚本代码具有高度相似性

    25.png

    (本文挖矿木马脚本代码片段)

     

    26.png

    (“8220”挖矿木马团伙代码片段)

     

    并且恶意脚本在启动新的挖矿木马时,对早期的文件目录/tmp/java*进行清理,该目录也正是“8220”挖矿团伙所使用,这个行为可能在进行版本更新。

    27.png

    基于以上特点我们认为本文发现的挖矿木马与“8220”挖矿木马属于同一团伙。

    安全建议

    1.可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 ,以及Struts2.5 到 Struts2.5.10之间则存在漏洞。受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts2.5.10.1以消除漏洞影响。

     

    2.使用腾讯御知网络空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控,及时修复Web服务器安全漏洞。

    28.png


    3.网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),其具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统。

     

    4. 推荐企业在Windows服务器使用腾讯御点防范病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

    29.png

    IOCs

    URL

    hxxp://93.174.93.149/logo8.jpg

    hxxp://93.174.93.149/xd.json

    hxxp://93.174.93.149/new.txt

    hxxp://93.174.93.149/SchTasks.ps1

    fxp://93.174.93.149/win.php

    fxp://93.174.93.149/task.php

    fxp://93.174.93.149/linx.php

     

    md5

    5fc34986f39711c178161699260bba85

    3846b42b7ac29f8f92f6222230207cb5

     

    矿池:

    54.36.137.146:3333

    gulf.moneroocean.stream:80

    37.59.162.30:3333

     

    钱包:

    46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ


    本文作者:, 转载请注明来自FreeBuf.COM

    # Apache Struts2 # 挖矿木马 # 腾讯御见威胁情报 # linux挖矿
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    评论 按时间排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦
    收入专辑