区块链和虚拟加密币疯狂炒作 天鉴态势感知破解“挖矿木马”谜案

区块链和虚拟加密币的疯狂炒作,催生以挖矿为核心的病毒木马黑色产业快速增长。安恒态势感知平台近期捕获了一些植入挖矿木马的攻击威胁,经过对数据深度关联分析,成功还原该“非法恶意挖矿”事件的完整过程。

通过态势感知平台捕获的攻击行为发现,该事件是攻击者利用Couchdb权限绕过漏洞,创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序。追踪溯源系统对攻击数据进行解析,快速发现了该威胁:

龙起卷,马长嘶——天鉴带你追踪溯源

剑气如霜,告警信息精准定位。以下是定位到的4条攻击的原始数据,提取攻击payload。

1.利用Couchdb权限绕过漏洞,创建管理员帐户wooyun1:

2.利用Couchdb任意命令执行漏洞,Wegt从服务器下载5.sh,保存到/tmp/5.sh:

3.利用Couchdb任意命令执行漏洞,Bash 执行/tmp/5.sh:

4.利用Couchdb任意命令执行漏洞,Curl从服务器下载2.sh,保存到/tmp/3.sh:

对以上威胁数据进行分析,确认这是一起利用Couchdb权限绕过漏洞,创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序的事件。通过追踪溯源平台的数据整合与关联能力,对这几条告警进行关联,转为门罗币挖矿木马事件。

纵横间,踏雪几回——且听天鉴娓娓道来

人间合一笑,飘荡江湖箫与剑。安恒态势感知为你详细解读攻击行为。

第一步:创建管理员

因为任意命令执行漏洞需要登录用户方可触发,所以攻击者先利用Couchdb权限绕过漏洞(CVE-2017-12635)先增加一个管理员用户,主要操作如下:

发送包含两个roles的数据包,即可绕过限制,成功创建管理员,账户密码均为:wooyun1。访问http://**.**.**.**:5984/_utils/,可以看到已经存在用户名为wooyun1账号:

第二步:执行任意命令

利用任意命令执行漏洞执行的主要操作如下:

可以看到利用漏洞执行wget和curl命令从http://192.99.142.*:*/下载了两个bash脚本,5.sh和2.sh.

功能都是再次执行wget或者curl命令下载并执行一个.jpg文件,查看logo4.jpg和logo8.jpg实质上都是shell脚本,主要内容如下:

脚本首先会关闭已有的挖矿进程,避免其他进程和它抢占资源,竟然有222个之多,这里列举了部分。

之后是从http://192.99.142.*:*下载一个配置文件1.json 并重命名,下载了rig、rig1、rig2三个样本并重命名,赋予了可执行权限,然后获取了受害主机的cpu核数,把配置文件内容和cpu核数作为参数执行suppoie这个程序。

config.json 内容如下:

矿池地址为:

158.69.133.*:*

192.99.142.*:*

202.144.193.*:*

挖矿账号为:

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

根据配置文件内容判断这是一个门罗币的挖矿样本,使用的是XMRig开源程序,查了一下这个钱包地址帐户还在持续受益。

脚本中出现的三个样本hash分别为:

4f0bbc485050485cf7799c0547ac2678dbe16b41e4d124e5fc2ffbeb62a46f6d

53505d1bdecdd2fb71d634dd1f7935ed8b099b87369c416bca7afa36cb3c7335

e2a28a51dae1627a4eb76d25dafd6140c52a88885e3cca66309e70cf7fa65cdd

✎关于“天鉴关键信息基础设施安全防护管理平台”

该平台具备等级保护、实时监测、威胁感知、通报预警、快速处置、追踪溯源等功能的网络安全综合管理平台。该管理平台利用技术手段对其重要门户网站、重要信息系统等关键信息基础设施进行全面的弱点分析、实时攻击分析、钓鱼识别,并结合流量监测、日志采集和情报信息通过大数据分析手段,建立数学分析模型,通过机器学习方法,实现场景化检测与入侵追溯。使得用户从总体上掌握网络安全态势,对爆发的网络安全事件能采取通报预警、应急处置、追踪溯源等具体操作。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-05-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

跨平台后门Mokes现已加入OS X豪华午餐

近期,卡巴斯基实验室的安全研究人员发现了一种恶意软件,这种恶意软件可以在目前主流的几款操作系统平台上运行,包括Windows、Linux和Mac OSX。 根据...

20390
来自专栏Python中文社区

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH...

35150
来自专栏FreeBuf

运维配置缺陷导致大量MongoDB数据信息遭泄露

近日,黑客组织GhostShell泄露了大量的MongoDB数据库用户资料。 数据遭到大量泄露 据统计该组织目前泄露的数据已达3600万条之多。MongoDB作...

235100
来自专栏安恒信息

域名劫持事件频发 网站安全形势不容忽视

  6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析...

45460
来自专栏安恒信息

挖矿病毒无处不在—Coinhive android APP滥用分析报告

摘要 近日安恒APT团队截获到一批(300多个)各种类别冒充为黑客破解版本的APK样本: ? 经过分析为Coinhive网站挖矿API在android平台的滥用...

36080
来自专栏FreeBuf

一步一步教你如何解锁被盗的iPhone 6S

即使你的iPhone6S设置了六位数的密码,甚至还设置了touch ID,但我要告诉你的是:你的手机仍然能被犯罪分子解锁。 ? 事件背景 三天前,一位苹果用户的...

305100
来自专栏CSDN技术头条

互联网从业者必须知道的36个安全技术术语

想要了解更多关于网络安全领域的信息?作者在本篇文章里面已经创建了一份需要知道的术语表,以帮助读者了解网络安全领域的相关内容。以下为译文。 软件开发中的安全主题常...

232100
来自专栏黑白安全

查询使用CDN的网站的真实IP

1:先查一下分站的IP,许多状况是主站运用了 CDN 而分站没有运用。 相似这么www.xxx.com 运用了CDN ,那么 mail.code521.com ...

27820
来自专栏FreeBuf

我是如何黑掉英国间谍软件公司Gamma的

前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

628100
来自专栏安恒信息

[科普]保护WiFi无线网络安全

全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi网络...

31640

扫码关注云+社区

领取腾讯云代金券