自2022年一月以来,安天CERT陆续捕获到多批次“8220”挖矿组织攻击样本,该挖矿组织自2017年出现,持续活跃,同时向Windows与Linux双平台传播恶意脚本,下载的载荷是门罗币挖矿程序以及其他僵尸网络程序、端口扫描爆破工具等。
攻击者使用的技术点如下表所示:
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
侦察 |
主动扫描 |
利用漏洞扫描 |
|
初始访问 |
利用面向公众的应用程序 |
利用Java等面向公众的应用程序 |
|
执行 |
利用命令和脚本解释器 |
使用PowerShell和shell脚本 |
|
持久化 |
利用计划任务/工作 |
设置计划任务 |
|
防御规避 |
隐藏行为 |
隐藏恶意进程 |
|
混淆文件或信息 |
使用Base64进行混淆 |
|
|
凭证访问 |
暴力破解 |
暴力破解SSH服务 |
|
发现 |
扫描网络服务 |
扫描SSH服务 |
|
收集 |
收集本地系统数据 |
收集本地系统敏感信息 |
|
影响 |
资源劫持 |
利用系统CPU资源 |
3.1 攻击流程
“8220”组织在Windows平台中使用名为“xms.ps1”的PowerShell脚本执行主要功能,具体功能为下载名为“wxm.exe”的挖矿程序,该挖矿程序属于开源门罗币挖矿程序XMRig、关闭防火墙、结束竞品挖矿程序进程、隐藏执行挖矿参数,连接矿池地址和钱包地址并且添加计划任务和注册表自启动项,达到持久化目的等。在Linux平台中使用名为“xms”的Shell脚本执行主要功能,具体功能为最大化利用系统资源、关闭防火墙、结束竞品挖矿程序、卸载安全软件、创建计划任务持久化、对挖矿程序进行MD5校验、下载Tsunami僵尸网络程序和挖矿程序、收集主机身份信息进行横向移动等功能。Tsunami僵尸网络程序的主要功能为远程控制、DDoS攻击和其他恶意行为。
图3‑1 攻击流程
3.2 传播途径
获取url地址下载“testlog2.py”文件并执行。
图3‑2 Log4j 2利用脚本
Log4j2漏洞利用代码。
3.3 攻击事件样本整理
根据攻击事件对样本进行梳理得到如下信息:
|
样本下载地址 |
详细说明 |
|
hxxp[:]//a.oracleservice.top/xms |
Linux恶意shell |
|
hxxp[:]//a.oracleservice.top/bashirc.i686 |
Tsunami僵尸网络程序 |
|
hxxp[:]//a.oracleservice.top/log4.sh |
Log4j 2利用脚本 |
|
hxxp[:]//a.oracleservice.top/wxm.exe |
Windows门罗币挖矿程序 |
|
hxxp[:]//a.oracleservice.top/bashirc. |
Tsunami僵尸网络程序 |
|
hxxp[:]//a.oracleservice.top/bashirc.x86_64 |
Tsunami僵尸网络程序 |
|
hxxp[:]//a.oracleservice.top/scan.sh |
扫描爆破 |
|
hxxp[:]//a.oracleservice.top/load.sh |
下载Tsunami僵尸网络程序 |
|
hxxp[:]//a.oracleservice.top/xms.ps1 |
Windows恶意PowerShell |
|
hxxp[:]//a.oracleservice.top/x86_64 |
Linux挖矿程序 |
|
矿池地址 |
钱包地址 |
|
b.oracleservice.top |
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ |
|
198.23.214.117:8080 |
|
|
51.79.175.139:8080 |
|
矿池地址 |
钱包地址 |
|
146.59.198.38:8080 |
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ |
|
51.79.175.139:8080 |
1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;
2. 加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3. 及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
4. 及时更新第三方应用补丁:建议及时更新第三方应用如WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁;
5. 开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
6. 主机加固:对系统进行渗透测试及安全加固;
7. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
8. 安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)Windows版和Linux版均可实现对该挖矿木马和僵尸网络程序的查杀与有效防护。
5.1 Windows样本分析
|
病毒名称 |
Trojan/Win32.Ymacco |
|
原始文件名 |
xms.ps1 |
|
MD5 |
52EC97E2246C28FA92A0C37A510BF67E |
|
文件大小 |
2.16KB (2,212字节) |
|
解释语言 |
PowerShell |
|
VT首次上传时间 |
2021-11-19 |
|
VT检测结果 |
22/57 |
定义门罗币挖矿程序地址、保存路径和挖矿程序名等信息以及关闭防火墙等。
结束竞品挖矿程序进程,遍历进程中的3333、4444、5555、7777和9000连接的端口,然后结束以上端口连接的进程。
下载挖矿程序wxm.exe并重命名为本地文件名,隐藏执行挖矿参数,连接矿池地址和钱包地址。添加计划任务和注册表自启动项,以达到持久化目的。经验证,下载的挖矿程序为开源门罗币挖矿程序XMRig,版本号为6.16.2。
5.2 Linux样本分析
5.2.1 xms(Linux恶意脚本)
|
病毒名称 |
Trojan[Downloader]/Shell.Miner |
|
原始文件名 |
xms |
|
MD5 |
6A4E5C6EC8EFE777FA85E240A02EB883 |
|
文件大小 |
11.54KB (11,820字节) |
|
解释语言 |
Shell |
|
VT首次上传时间 |
2022-04-20 |
|
VT检测结果 |
28/58 |
图5‑5 卸载安全软件
确保与恶意域名的连通性,创建计划任务持久化。
对挖矿程序进行MD5校验。
维持计划任务的正常运行,一旦检测到有计划任务被删除,就会重新执行计划任务。
从/.ssh/config,.bash_history,/.ssh/known_hosts等主机中存储的SSH密钥、历史记录和配置文件等进行搜索和匹配,来发现攻击目标,并找到与其相对应的身份验证的信息,检查~/.ssh/config、~/.bash_history和.ssh/known_hosts尝试进行横向移动等操作。
5.2.2 bashirc(Tsunami僵尸网络程序)
Tsunami僵尸网络基于Internet中继聊天(IRC)的命令控制服务器操作,在受感染设备的配置中修改DNS服务器设置,使来自物联网设备的流量被重定向到攻击者控制的恶意服务器。Tsunami僵尸网络主要使用下载器下载、利用漏洞、远程登录扫描等方式进行传播。Tsunami僵尸网络程序的主要功能为远程控制、DDoS攻击和其他恶意行为。安天曾在《精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析》中具体分析过Tsunami僵尸网络,在此不再过多分析[1]。
5.2.3 scan(扫描爆破)
利用扫描工具对内网22端口进行爆破并将结果保存在/tmp/ssh_vuln.txt文件中,筛选过滤到/tmp/ips_check文件中,爆破完成后下载xms(Linux恶意脚本)并执行。
图5‑12 内网扫描爆破
5.2.4 load(下载Tsunami僵尸网络程序)
下载sshexec和sshpass,如果下载不成功,下载lan.tar.gz,该压缩包中包含Tsunami僵尸网络程序,解压后执行,收集敏感信息。
5.2.5 x86_64(Linux挖矿程序)
经验证,该挖矿程序为开源挖矿程序XMRig改编,无需配置文件即可运行,运行后隐藏自身进程,创建计划任务持久化。
|
IoCs |
|
6A4E5C6EC8EFE777FA85E240A02EB883 |
|
0BA9E6DCFC7451E386704B2846B7E440 |
|
093EDA279900756DCE56FC813427A6B4 |
|
9E47D3A502A7B2BCEC1F1375430CA0EB |
|
3EDCDE37DCECB1B5A70B727EA36521DE |
|
9E935BEDB7801200B407FEBDB793951E |
|
17E55153BE42BFA30BEB2E613F41732E |
|
4867D53919A2DF7F168BCCE76AD74543 |
|
FDF3D43F2DC9AF4018B42A192D3D41E7 |
|
52EC97E2246C28FA92A0C37A510BF67E |
|
EB2F5E1B8F818CF6A7DAFE78AEA62C93 |
|
194.38.20.31 |
|
185.157.160.214 |
|
209.141.40.190 |
|
a.oracleservice.top |
|
hxxp[:]//a.oracleservice.top/xms |
|
hxxp[:]//a.oracleservice.top/bashirc.i686 |
|
hxxp[:]//a.oracleservice.top/log4.sh |
|
hxxp[:]//a.oracleservice.top/armv7l |
|
hxxp[:]//a.oracleservice.top/wxm.exe |
|
hxxp[:]//a.oracleservice.top/bashirc. |
|
hxxp[:]//a.oracleservice.top/bashirc.x86_64 |
|
hxxp[:]//a.oracleservice.top/scan.sh |
|
hxxp[:]//a.oracleservice.top/load.sh |
|
hxxp[:]//a.oracleservice.top/logic.sh |
|
hxxp[:]//a.oracleservice.top/xms.ps1 |
|
hxxp[:]//a.oracleservice.top/x86_64 |
|
hxxp[:]//bash.givemexyz.in |
参考资料
[1] 精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析
https://www.antiy.cn/research/notice&report/research_report/20200424.html
原文始发于微信公众号(安天集团):“8220”挖矿组织活动分析
