受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。
腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞,排查弱口令,避免服务器沦为黑产控制的肉鸡。
在本例中,部分政企机构使用Redis时,由于没有对redis进行良好的配置,如使用空口令或者弱口令等,导致攻击者可以直接访问redis服务器,并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。
自查处置建议腾讯安全专家推荐的修复建议:
1.针对未配置redis密码访问的,需要对其进行配置添加用户和密码访问。针对弱口令则需要使用强密码。
2.如非必须,不对外开放redis端口,如需要对外开放服务则正确配置好ACL策略。
清理利用漏洞入侵的挖矿木马
1.清除计划任务中的python3.8m.sh相关条目;
2.在确认JavaUpdate和mysqlserver进程异常后,将其kill掉;
3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc 文件夹。
针对supermanminer系列挖矿木马的活动,腾讯安全各产品均已响应拦截。
详细响应清单如下:
威
胁
情
报
威胁情报云查服务
(SaaS)
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
高级威胁追溯系统
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
安全
防护
(Cloud Firewall,CFW)
1)SupermanMiner挖矿木马相关IOCs识别检测;
2)检测Redis未授权漏洞利用;
有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
(Cloud Workload Protection,CWP)
2)支持检测Redis未授权漏洞利用;
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
高级威胁检测系统
(腾讯御界)
在使用redis应用时没有配置好访问策略导致攻击者可以利用弱口令或者空口令直接访问redis应用,并通过该应用直接向系统写入计划任务或者通过写入ssh公钥文件直接控制服务器。
通过未授权直接写入计划任务
在/var/spool/cron/root可以看到如下内容:
通过计划任务到pastebin下载脚本并执行。
下载的脚本内容用base64进行编码
解码后的内容:
该脚本主要功能是判断当前主机进程中是否有包含/var/tmp/.system-python3.8-Updates路径,然后指定站点下载superman文件,命名为f存放到/var/tmp/目录下,运行后将该文件删除。
superman是一个go编写的下载器,主要功能是下载核心挖矿程序xmrig及配置文件,并通过重新下载superman,并将其命名为mysqlserver,写入计划任务的方式进行持久化操作。
在运行superman后会写入计划任务。
其中python3.8m.sh的内容为:
脚本中的将mysqlserver是将superman下载后重命名,并将其存放在.system-python3.8-updates路径下。
通过流量分析发现,木马会频繁请求www.hellomeyou.cyou,且域名对应的IP一直在变化。该网站主要是查询在NameSilo注册的域名的whois信息等,
通过查看网站源码,发现源码中嵌入了一些内容,包括xmirg下载链接,矿池配置,superman下载链接及文件大小等。
通过查询域名相关信息该域名与namesilo属于同一组织,判断应该是hellomeyou这个网站被攻击后,在网站中嵌入了这些内容。
通过对superman文件分析,发现其通过正则表达式的方式匹配相应内容,分别匹配superman下载的url,xmrig下载路径,文件大小及矿池配置内容。
Superman文件通过github下载xmrig文件,并将其命名为JavaUpdate,并将其存放在/var/tmp/.Javadoc/路径下。同时通过匹配到的矿池内容修改相应的config.json文件。
Congfig文件内容:
其中挖矿使用矿池:
54.37.7.208:443(xmrpool.eu)
挖矿使用钱包:
88XEAsyefa9DyzyM *** dcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6
根据其钱包算力223Kh/s推算,该挖矿团伙已控制约1万台电脑进行挖矿。
Superman采用Go语言编写,除了启动挖矿程序之外,还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。
URL
hxxp://138.124.180.20:8080/superman
hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz
hxxps://pastebin.com/raw/xnxWdRJ8
hxxp://www.hellomeyou.cyou/
MD5
JavaUpdate
a66c6c00d09529066b03070646127286
superman/mysqlserver
96dc8dcd5bf8f6e62c3ce5219e556ba3
矿池地址
xmrpool.eu
钱包地址88XEAsyefa9DyzyM *** dcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6
参考链接:
https://paper.seebug.org/1440/
伊朗国家石油产品分销公司(NIOPDC)的加油站26日停工,原因是网络攻击波及了整个分销网络。 NIOPDC网络在全国拥有3500多个加油站,80多年来一直供应石油产品。 调查机构正在查找造成破坏的原因,目前还没有公开说明幕后黑手的信息,但伊朗正在指责一个敌对国家。 并非全无线索,ISNA 通讯社首...
Wormhole Portal 刚刚遭遇了“桥梁”漏洞攻击,导致该加密货币平台损失了相当于 3.228 亿美元的 ETH 和 SOL 。问题源于以太坊区块链上的一个“智能合约”缺陷,别有用心的攻击者可借此将一款加密货币转换成另一种并跑路。 攻击后,失窃的加密货币资产已缩水至 2.94 亿美元。虽然...
微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,...
医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。 攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。 “MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛...
在一份公共服务公告中,联邦调查局透露,与SIM卡替换有关的犯罪行为有惊人的增长,在2021年给美国公众造成了价值超过6800万美元的损失。随着越来越多的消费者将其在线账户的访问和恢复与电话号码绑定为2FA(二次验证),攻击者通过恶意挂失SIM卡,并将所有数据如电话、恢复短信和OTP转移到他们选择的设...
外媒援引《德国之声》的报道称,周日公布的一项欧洲媒体调查表明 —— 丹麦情报机构曾秘密协助美国国家安全局(NSA)对身居高位的欧盟政客实施了大规模的监听,其中就包括了德国总理安吉拉·默克尔和总统弗兰克-瓦尔特·施泰因迈尔。其实早在 2013 年,美国对其盟友开展间谍活动的爆料就已经首次浮出水面。但直...