当前位置：首页 > 网站入侵 > 正文内容

Sysrv-hello 僵尸 *** 集木马、后门、蠕虫于一身，攻击 Linux、Windows 主机挖矿

访客56年前 (1970-01-01)网站入侵963

一、概述

腾讯安全威胁情报中心检测到Sysrv-hello僵尸 *** 对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。

Sysrv-hello僵尸 *** 挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。

该僵尸 *** 于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸 *** 已具有一定规模，对政企机构危害较大。

自查处置建议

腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞（CVE-2020-14882），修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险，对系统以下条目进行排查：

文件：
Linux:
/tmp/network01
/tmp/sysrv
/tmp/flag.txt

Windows:
%USERPROFILE%\appdata\loacal\tmp\network01.exe
%USERPROFILE%\appdata\loacal\tmp\sysrv.exe

进程：
network01
sysrv

定时任务：
排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项

腾讯安全响应清单

腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸 *** 对云上主机的攻击。

具体响应清单如下：

应用

场景

安全产品 解决方案 威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）威胁情报已加入，可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）Sysrv-hello相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于 *** 流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量：

1）Sysrv-hello相关联的IOCs已支持识别检测；

2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击；

3）支持检测mysql爆破攻击。

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 主机安全

（Cloud Workload Protection，CWP）

1）云镜已支持Sysrv-hello关联模块的检测告警，查杀清理。

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

（腾讯御界）

基于 *** 流量进行威胁检测，已支持：

1）支持识别、检测Sysrv-hello相关联的IOCs；

2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击；

3）支持检测mysql爆破攻击。

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

（iOA）

1）已支持Sysrv-hello关联模块的检测告警和查杀清理。

零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的 *** 安全管理实践经验与“零信任”理念，推出的 *** 边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html

二、详细分析

腾讯云防火墙检测到Sysrv_hello僵尸 *** 针对使用Nexus Repository Manager 3默认账户密码资产发起攻击，下图为攻击过程中产生的恶意payload。

恶意payload执行后Nexus将添加名为t的task脚本执行任务，该任务触发执行后（“action”:”coreui_Task”,”method”:”run”…）进一步下拉恶意脚本执行，恶意脚本地址（hxxp://185.239.242.71/ldr.sh）

ldr.sh恶意脚本首先会尝试卸载云主机安全软件（aliyun，yunjing），停止部分服务(安全软件，挖矿木马)，同时删除部分docker挖矿镜像。

清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理)

尝试下载矿机命令执行，进程名为network01，矿池，钱包地址如下：
Pool.minexmr.com
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

xmr.f2pool.com
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行

最后将其自身写入计划任务，并删除本地相关对应文件

该木马不仅攻击Linux系统，同时发现针对Windows平台的恶意载荷，攻击Windows系统成功后会植入powershell恶意脚本，脚本会进一步拉取Windows平台的相同模块到tmp目录执行。

Linux系统下sysrv模块通过使用52013端口作为互斥量，端口开启状态判定为已感染环境直接退出，否则打开本地该端口进行占用。

sysrv通过检测进程，判断network01进程（矿机进程）是否正常运行，如果未正常运行，就在tmp目录进一步释放出文件内嵌的elf文件，并命名为network01将其执行。

network01模块为门罗币矿机程序，该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。

sysrv确认挖矿行为正常运行后，会开始进行蠕虫式的攻击传播：进行随机IP的端口扫描与漏洞利用，会尝试对mysql，Tomcat服务进行爆破攻击，尝试对Weblogic服务使用CVE-2020-14882漏洞（该漏洞公告由Oracle官方于2020年10月21日公开）进行远程代码执行攻击，这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。

hello_src_exp爆破，漏洞利用组合攻击

攻击mysql服务使用的弱口令爆破字典

攻击Tomcat服务使用的爆破口令

对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击，该安全漏洞为2020年10月Oracle官方公告修复，属于相对比较新的漏洞攻击武器。

IOCs

MD5:
33c78ab9167e0156ff1a01436ae39ca1
6db4f74c02570917e087c06ce32a99f5
750644690e51db9f695b542b463164b9
d708a5394e9448ab38201264df423c0a
bc2530a3b8dc90aca460a737a28cf54b
236d7925cfafc1f643babdb8e48966bf

URL:
hxxp://185.239.242.71/ldr.sh
hxxp://185.239.242.71/ldr.ps1
hxxp://185.239.242.71/xmr64
hxxp://185.239.242.71/xmr32
hxxp://185.239.242.71/xmr32.exe
hxxp://185.239.242.71/xmr64.exe
hxxp://185.239.242.71/sysrv
hxxp://185.239.242.71/sysrv.exe

IP:
185.239.242.71(ZoomEye搜索结果)

矿池&钱包
pool.minexmr.com
xmr.f2pool.com
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

扫描二维码推送至手机访问。

本文链接：https://w-123.com/32625.html

标签: HackerNews 黑客安全互联网国际威胁情报维基解密

返回列表

没有更早的文章了...

下一篇：如何找回qq密码（手机号也停用了）

“Sysrv-hello 僵尸 *** 集木马、后门、蠕虫于一身，攻击 Linux、Windows 主机挖矿” 的相关文章

荷兰白帽黑客轻松攻破电网控制系统捧走其第四座 Pwn2Own 奖杯

在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上，两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家，Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...

可口可乐 161GB 数据被盗包括金融数据、密码和商业账户等

俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司，并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户，然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前，曾在 Telegram 上发起投票，询...

去年恶意勒索资金中有 74% 流向了俄罗斯有关黑客手中

一项新研究表明，2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说，价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称，大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。这项研究是由 Chainalysi...

Project Zero 报告：2021 年共发现 58 个已被黑客利用的零日漏洞

Project Zero 是由 Google 专家和分析师组成的内部团队，负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二，该团队发布公告称，在 2021 年共发现了 58 个已被黑客利用的漏洞，刷新了历史记录。零日漏洞是指开发人员刚刚意识到的安全缺陷，因此，他们有“零天”时间来修复...

BlackMatter 勒索软件营运者称因地方当局压力而停业

BlackMatter勒索软件背后的犯罪集团今天宣布计划关闭其业务，理由是来自地方当局的压力。该组织在其 “勒索软件即服 “门户后台发布的一条信息中宣布了其计划，其他犯罪集团通常在这里注册，以获得BlackMatter勒索软件的使用权。这条消息是由vx-underground信息安全小组的一名成员...

新型芯片可防止黑客从智能设备中提取隐藏信息

一位最近出院的心脏病患者正在使用智能手表来帮助监测他的心电图信号。这款智能手表看起来非常安全，但处理该健康信息的神经网络使用的是私人数据，这些数据仍有可能被恶意代理通过侧信道攻击窃取。边信道攻击试图通过间接利用一个系统或其硬件来收集秘密信息。在一种类型的边信道攻击中，精明的黑客可以在神经网络运行...