感谢腾讯御见威胁情报中心来稿！

原文：https://mp.weixin.qq.com/s/kHF-xcGiQTUKTlleOxfHdg

一、背景

腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中，BuleHero引入了多种新漏洞的使用，包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。

该团伙善于学习和使用各类Web服务器组件漏洞。包括以前用到的Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化任意代码执行漏洞，又引入了Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用，使得其攻击 *** 增加到十个之多。

BuleHero在进入目标系统后，首先通过命令下载downlaod.exe，然后downlaod.exe下载主模块swpuhostd.exe，swpuhostd.exe释放密码抓取工具，端口扫描工具，永恒之蓝攻击工具进行扫描和攻击，同时依次进行行多种web服务组件的探测和漏洞利用攻击，并在中招电脑下载挖矿木马和远程控制木马。

根据腾讯安全御见威胁情报中心数据，BuleHero挖矿蠕虫病毒目前感染超过3万台电脑，影响最严重地区为广东，北京，江苏，山东等地，影响较严重的行业分别为互联网，科技服务，贸易服务业。

二、详细分析

攻击和传播

攻击模块swpuhostd.exe将自身注册为服务“mekbctynn”，然后释放密码抓取工具mimikatz，扫描工具，永恒之蓝攻击工具到C:\Windows\tqibchipg\目录下。

vfshost.exe为mimikatz为密码抓取工具，可以从内存中获取电脑登录时使用的账号密码明文信息，BuleHero使用抓取到的密码进行横向传播。

tcnuzgeci.exe和trctukche.exe都是端口扫描工具，扫描ip.txt中指定的IP范围，探测139/445/3389/8983等端口，将结果保存至Result.txt中，并在后续的漏洞攻击过程中使用。

而UnattendGC目录下依然存放的是永恒之蓝攻击包文件，目前使用的漏洞攻击工具包括永恒之蓝，双脉冲星，永恒浪漫和永恒冠军。

攻击模块swpuhostd.exe执行以下漏洞攻击过程

Tomcat PUT方式任意文件上传漏洞（CVE-2017-12615），首先通过漏洞上传名为FxCodeShell.jsp的webshell，利用该webshell执行传入的命令下载木马。

Apache Struts2远程代码执行漏洞（CVE-2017-5638），Struts使用的Jakarta解析文件上传请求包不当，当远程攻击者构造恶意的Content-Type，可能导致远程命令执行，漏洞影响范围：Struts 2.3.5 – Struts 2.3.31，Struts 2.5 –Struts 2.5.10。

Weblogic远程代码执行的反序列化漏洞CVE-2018-2628，漏洞利用了T3协议的缺陷实现了Java虚拟机的RMI：远程 *** 调用(RemoteMethod Invocation)，能够在本地虚拟机上调用远端代码，攻击者利用此漏洞远程执行任意代码。

Thinkphp V5漏洞（CNVD-2018-24942），该漏洞是由于框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

Weblogic反序列化远程代码执行漏洞（CVE-2019-2725），由于weblogic中wls9-async组件的WAR包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意 HTTP 请求，即可获得目标服务器的权限，在未授权的情况下远程执行命令。

Drupal远程代码执行漏洞CVE-2018-7600，Drupal对Form API(FAPI)AJAX请求的输入环境不够，导致攻击者可以将恶意负载注入内部表单结构，从而执行任意代码。

Apache Solr 远程命令执行漏洞CVE-2019-0193，此漏洞存在于可选模块DataImportHandler中，DataImportHandler是用于从数据库或其他源提取数据的常用模块，该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置，由于DIH配置可以包含脚本，导致攻击者可利用dataConfig参数构造恶意请求，实现远程代码执行。

PHP的php_xmlrpc.dll模块中的隐藏后门利用，影响版本：phpstudy 2016（php5.4/5.2） phpstudy 2018（php5.4/5.2）。该后门利用事件今年9月由杭州公安在《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》中披露，文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭黑客篡改并植入“后门”，后门位于程序包自带的PHP的php_xmlrpc.dll模块中，攻击者构造并提交附带恶意代码的请求包，可执行任意命令。攻击模块swpuhostd.exe执行爆破过程

IPC$远程爆破连接，爆破登录成功后在目标机器利用Psexec工具或者利用WMIC执行远程命令。

在攻击模块的代码中还包含3389(RDP服务)端口扫描行为，虽然目前未根据扫描结果进行下一步动作，但由于该团伙十分活跃，推测其可能在后续的更新中添加RDP漏洞(BlueKeep)CVE-2019-0708的攻击代码。腾讯安全威胁情报中心监测数据表明，仍有相当比例的Windows电脑未修复CVE-2019-0708漏洞，该漏洞存在蠕虫病毒利用风险。

挖矿

BuleHero病毒攻击成功，会将挖矿木马释放到Windows目录下C:\Windows\Temp\geazqmbhl\hvkeey.exe，木马采用XMRig编译，挖矿使用矿池为mx.oops.best:80，mi.oops.best:443。

远程控制

释放远控木马到C:\Windows\SysWOW64\rmnlik.exe目录下，上线连接地址

ox.mygoodluck.best:12000。

三、安全建议

因该病毒利用大量已知高危漏洞攻击入侵，并最终通过远程控制木马完全控制中毒电脑组建僵尸 *** ，危害极大。腾讯安全专家建议企业重点防范，积极采取以下措施，修复安全漏洞，强化 *** 安全。

1.服务器暂时关闭不必要的端口（如135、139、445）， *** 可参考：https://guanjia.qq.com/web_clinic/s8/585.html

2.下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞。

XP、WindowsServer2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3.定期对服务器进行加固，尽早修复服务器文档提及的相关组件安全漏洞，安装服务器端的安全软件；

4.服务器使用高强度密码，切勿使用弱口令，防止被黑客暴力破解；

5.使用腾讯御点终端安全管理系统拦截可能的病毒攻击（下载地址：https://s.tencent.com/product/yd/index.html）；

6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html）

IOCs

IP

185.147.34.136

185.147.34.106

172.104.91.191

139.162.2.123

Md5

ecb3266326d77741815ecebb18ee951a

398fb3fed9be2941f3548a5d0d4b862c

6ef68c9b73b1beee2efabaf6dfe11051

f62a9a4720da8f4afb457569465c775c

f89544ecbf66e93c2821625861ae8821

b1956fe89e3d032be3a06820c63f95a6

Domain

fk.0xbdairolkoie.space

zik.fxxxxxxk.me

xs.0x0x0x0x0.club

rs.s1s1s1s1s.fun

qb.1c1c1c1c.best

jz.1c1c1c1c.xyz

ik.s1s1s1s1s.host

ff.s1s1s1s1s.site

eq.s1s1s1s1s.asia

cu.s1s1s1s1s.pw

ce.1c1c1c1c.club

wiu.fxxxxxxk.me

wc. *** ingmy.life

upa2.hognoob.se

upa1.hognoob.se

uio.hognoob.se

uio.heroherohero.info

rp.oiwcvbnc2e.stream

rp.666.stream

qie.fxxxxxxk.me

q1a.hognoob.se

pxx.hognoob.se

pxi.hognoob.se

ox.mygoodluck.best

oo.mygoodluck.best

noilwut0vv.club

mx.oops.best

mi.oops.best

li.bulehero2019.club

heroherohero.info

haq.hognoob.se

fxxk.noilwut0vv.club

fid.hognoob.se

dw. *** ingmy.life

cb. *** ingmy.life

bk.oiwcvbnc2e.stream

bk.kingminer.club

bk.heroherohero.in

aic.fxxxxxxk.me

a88.heroherohero.info

a88.bulehero.in

a47.bulehero.in

a46.bulehero.in

a45.bulehero.in

URL

http[:]//fk.0xbdairolkoie.space/download.exe

http[:]//fk.0xbdairolkoie.space/ swpuhostd.exe

http[:]//xs.0x0x0x0x0.club:63145/cfg.ini

http[:]//qb.1c1c1c1c.best:63145/cfg.ini

http[:]//ce.1c1c1c1c.club:63145/cfg.ini

http[:]//jz.1c1c1c1c.xyz:63145/cfg.ini

http[:]//eq.s1s1s1s1s.asia:63145/cfg.ini

http[:]//rs.s1s1s1s1s.fun:63145/cfg.ini

http[:]//ik.s1s1s1s1s.host:63145/cfg.ini

http[:]//cu.s1s1s1s1s.pw:63145/cfg.ini

http[:]//ff.s1s1s1s1s.site:63145/cfg.ini

参考链接：

https://www.freebuf.com/column/180544.html

https://www.freebuf.com/column/181604.html

https://www.freebuf.com/column/197762.html

https://www.freebuf.com/column/204343.html