区块链和虚拟加密币疯狂炒作 天鉴态势感知破解“挖矿木马”谜案

区块链和虚拟加密币的疯狂炒作，催生以挖矿为核心的病毒木马黑色产业快速增长。安恒态势感知平台近期捕获了一些植入挖矿木马的攻击威胁，经过对数据深度关联分析，成功还原该“非法恶意挖矿”事件的完整过程。

通过态势感知平台捕获的攻击行为发现，该事件是攻击者利用Couchdb权限绕过漏洞，创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序。追踪溯源系统对攻击数据进行解析，快速发现了该威胁：

龙起卷，马长嘶——天鉴带你追踪溯源

剑气如霜，告警信息精准定位。以下是定位到的4条攻击的原始数据，提取攻击payload。

1.利用Couchdb权限绕过漏洞，创建管理员帐户wooyun1：

2.利用Couchdb任意命令执行漏洞，Wegt从服务器下载5.sh，保存到/tmp/5.sh：

3.利用Couchdb任意命令执行漏洞，Bash 执行/tmp/5.sh：

4.利用Couchdb任意命令执行漏洞，Curl从服务器下载2.sh,保存到/tmp/3.sh：

对以上威胁数据进行分析，确认这是一起利用Couchdb权限绕过漏洞，创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序的事件。通过追踪溯源平台的数据整合与关联能力，对这几条告警进行关联，转为门罗币挖矿木马事件。

纵横间，踏雪几回——且听天鉴娓娓道来

人间合一笑，飘荡江湖箫与剑。安恒态势感知为你详细解读攻击行为。

第一步：创建管理员

因为任意命令执行漏洞需要登录用户方可触发，所以攻击者先利用Couchdb权限绕过漏洞(CVE-2017-12635)先增加一个管理员用户，主要操作如下：

发送包含两个roles的数据包，即可绕过限制，成功创建管理员，账户密码均为：wooyun1。访问http://**.**.**.**:5984/_utils/，可以看到已经存在用户名为wooyun1账号：

第二步：执行任意命令

利用任意命令执行漏洞执行的主要操作如下：

可以看到利用漏洞执行wget和curl命令从http://192.99.142.*:*/下载了两个bash脚本，5.sh和2.sh.

功能都是再次执行wget或者curl命令下载并执行一个.jpg文件，查看logo4.jpg和logo8.jpg实质上都是shell脚本，主要内容如下：

脚本首先会关闭已有的挖矿进程，避免其他进程和它抢占资源，竟然有222个之多，这里列举了部分。

之后是从http://192.99.142.*:*下载一个配置文件1.json 并重命名，下载了rig、rig1、rig2三个样本并重命名，赋予了可执行权限，然后获取了受害主机的cpu核数，把配置文件内容和cpu核数作为参数执行suppoie这个程序。

config.json 内容如下：

矿池地址为：

158.69.133.*:*

192.99.142.*:*

202.144.193.*:*

挖矿账号为：

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

根据配置文件内容判断这是一个门罗币的挖矿样本，使用的是XMRig开源程序，查了一下这个钱包地址帐户还在持续受益。

脚本中出现的三个样本hash分别为：

4f0bbc485050485cf7799c0547ac2678dbe16b41e4d124e5fc2ffbeb62a46f6d

53505d1bdecdd2fb71d634dd1f7935ed8b099b87369c416bca7afa36cb3c7335

e2a28a51dae1627a4eb76d25dafd6140c52a88885e3cca66309e70cf7fa65cdd

✎关于“天鉴关键信息基础设施安全防护管理平台”

该平台具备等级保护、实时监测、威胁感知、通报预警、快速处置、追踪溯源等功能的网络安全综合管理平台。该管理平台利用技术手段对其重要门户网站、重要信息系统等关键信息基础设施进行全面的弱点分析、实时攻击分析、钓鱼识别，并结合流量监测、日志采集和情报信息通过大数据分析手段，建立数学分析模型，通过机器学习方法，实现场景化检测与入侵追溯。使得用户从总体上掌握网络安全态势，对爆发的网络安全事件能采取通报预警、应急处置、追踪溯源等具体操作。