利用组件漏洞挖矿

挖矿事件典型案例

利用组件漏洞挖矿

  1. 背景介绍
    2018 年初,绿盟科技应急响应团队持续接到来自金融、卫生、教育等多个行业客户的安全事件
    反 馈,发现多台不同版本 WebLogic 主机均被植入了相同的恶意程序,该程序会消耗大量的主机 CPU资源。 经过对捕获到的攻击代码进行分析,发现这是一次针对 WebLogic 的 wls-wsat 组件漏洞(CVE-2017- 10271)进行远程代码执行的大范围攻击。2. 处置过程
    被感染主机 tmp 目录下均存在可执行文件 watch-smartd 或 Carbon,通过分析上述文件均为不同 版本的虚拟币挖矿程序 cpu
    miner,因此运行后会大量消耗服务器 CPU 及内存资源;该挖矿程序不存在 维持进程和复活功能,但在清除后又会不定期出现。收集信息得知挖矿程序的所属用户和运行用户与 WebLogic 的运行用户相同。查看发现 watch- smartd 进程的父进程为 WebLogic。由此可以确定该事件与 WebLogic 漏洞有关。
    通过对感染主机抓包捕获攻击代码以及 WebLogic 日志分析,证实攻击者是利用 WebLogic wls
  • wsat 组件远程代码执行漏洞(CVE-2017-10271)下载并运行挖矿程序。排查过程可参考下图:
    图 7 入侵过程
    首先攻击者通过该漏洞执行 curl 命令,下载名为 setup-watch 的 shell 脚本,其作用为下载并运行 最终的挖矿程序。该 shell 脚本中定义了挖矿程序的下载地址、下载方式、保存路径、运行参数等。
    通过对服务器上的样本程序进行分析,绿盟安全人员发现 watch-smartd 或 Carbon 为同一挖矿程序 程序的不同版本。攻击者主要利用该程序挖取在黑市流通的 XMR(门罗币),其对外连接的矿池域名为: minexmr.com、minergate.com。
  1. 处置方案
    从主机层面可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对 C&C地址及矿池 相关域名 /IP 进行监控,以发现其他受感染主机。
    针对 Linux主机,首先查看 /tmp 目录中是否存在属主为 watch-smartd、Carbon、default。
    通过进程及系统资源分析,确认是否存在启动用户为
    漏洞修复及验证:
  2. 首先在网络中通过端口探测方式,检测对外开放了 可通过网络边界设备对相应端口进行封禁。
    �WebLogic 运行账户的相关可疑文件,如: WebLogic 运行的相关可疑进程。
    T3 协议的 WebLogic 主机,若非业务需要,
    图 8 检测 T3 协议
  3. 安装 Oracle 官方提供的 WebLogic 2017 年 10 月份补丁,漏洞通告及相关补丁参考链接:
  4. 若无法安装上述补丁,还可根据主机实际环境,删除或重命名 WebLogic 目录中以下 war 包及 目录。
    重启 WebLogic 后,通过 console 端口(T3 协议)访问
  5. 专家分析 此次攻击主要目的为下载并执行挖矿程序。尽管该漏洞早已在
    �wls-wsat,验证响应状态码是否为 404。
    Oracle 官方发布的 2017 年 10 月份
    的补丁中修复,即安装了最新补丁的主机将不受此次攻击影响,但还是存在大量的主机被入侵。这表明 很多企业对于网络安全建设的长期忽,对已知高风险漏洞的不重,才会大量爆发 WebLogic 挖矿事 件而付出惨痛代价。漏洞一旦存在,就随时可能被不法分子利用,甚至会导致重大资产的损失和承担法
    律责任。
    目前黑色产业链中利用已知 1Day 或 NDay 攻击服务器,谋取利益的事件越来越多。企业应该重 并全面提升自身系统的安全性,从而保障业务顺畅运行,也保护用户信息安全。
    4.2.1.5 专家建议
  6. 企业需要重自身安全制度的建设,与专业安全厂商建立合作机制,共同抵御网络攻击,保证 企业自身业务的正常运行。
  7. 建设完善的企业安全管理规范,及时更新补丁,尤其在重大安全漏洞公布时,及时更新并确定 所有相关服务器更新成功。防微杜渐,防患于未然。

及其变种

  1. 背景介绍
    2018 年,绿盟科技应急响应团队持续接到 WannaMine 挖矿的事件反馈。该蠕虫感染计算机后会向 计算机中植入挖矿病毒,导致电脑资源被大量占用,无法正常运行,危害巨大。但至今仍有大量主机未 安装安全补丁,导致被后续的 Wanna 系列变种病毒感染。
    2018 年 3 月,WannaCry 勒索病毒出现变种,WannaMine 挖矿病毒诞生。
    2018 年 5 月,WannaMine 出现变种(WannaMine2.0)。
    2018 年 11 月,WannaMine2.0 再次出现变种(WannaMine 3.0)。
    在局域网内,WannaMine 家族利用 SMB协议漏洞,快速横向扩散。WannaMine 家族 2.0、3.0 变种, 加入了一些免杀技术,传播机制与 WannaCry 勒索病毒一致。
  2. 处理过程
    WannaMine 病毒使用“永恒之蓝”漏洞入侵服务器,然后植入挖矿程序,并扫描同网段主机传播漏洞。 特征图如下:
    图 9 :病毒特征
    WannaMine 病毒攻击传播过程:
  3. srv(tpmagentservice.dll)主服务,开机启动,加载 spoolsv。
  4. spoolsv(spoolsv.exe)对局域网进行 445 端口扫描,确定可攻击的内网主机。同时启动挖矿 程序 hash(TrueServiceHost.exe)、漏洞攻击程序 svchost.exe 和 spoolsv.exe(NSA 工具包)。
  5. svchost.exe 执行“永恒之蓝”漏洞溢出攻击(目的 IP 由第 2 步确认),成功后 spoolsv. exe(NSA 黑客工具包 DoublePulsar 后门)安装后门,加载后门 dll。
  6. 后门 dll(x86.dll、x64.dll)执行后,负责将 MsraReportDataCache32.tlb 从本地复制到目的 IP主机, 再解压该文件,注册 srv 主服务,启动 spoolsv 执行攻击。
    WannaMine 病毒每攻陷一台服务器,都将重复以上步骤。攻击过程如下图:
    图 10 :攻击过程
    事件排查—网络层:
    通过出口防火墙或其他类似安全设备,对相关的后门域名、挖矿域名及 Kill Switch域名(www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com)请求进行监测,以发现内部其他感染主机。
    部分域名信息如下:
    表 8 部分域名信息
    |序号|域名|域名解析地址|
    事件排查—主机层:
  7. 检查主机是否存在以下进程: TrustedHostServices.exe(WannaMine1.0-2.0 门罗币挖矿程序) trustedhostex.exe(WannaMine3.0 门罗币挖矿程序) Spoolsv.exe(有 445 端口扫描行为)
  8. 检查主机是否存在以下服务:
    Tpmagentservice(WannaMine1.0 服务) wmassrv(WannaMine2.0 服务)
    snmpstorsrv(WannaMine3.0 服务)
  9. 检查主机中是否存在以下目录或文件 :
    WannaMine1.0 目录: • C:\Windows\SecureBootThemes
    WannaMine2.0 目录:
    WannaMine3.0 目录:
    \4. 相关文件包括:
    C:\Windows\system32\tpmagentservice.dll(WannaMine1.0 相关) C:\Windows\system32\TrustedHostServices.exe(WannaMine1.0 相关) C:\Windows\System32\MsraReportDataCache32.tlb(WannaMine1.0 相关) C:\Windows\system32\wmassrv.dll(WannaMine2.0 相关) C:\Windows\system32\EnrollCertXaml.dll(WannaMine2.0 相关) C:\Windows\system32\HalPluginsServices.dll(WannaMine2.0 相关) C:\Windows\system32\snmpstorsrv.dll(WannaMine3.0 相关) C:\Windows\system32\trustedhostex.exe(WannaMine3.0 相关) C:\Windows\system32\marstracediagnostics.xml(WannaMine3.0 相关)
  10. 处置方案
    从主机层面可通过监控主机系统资源或进程分析方式进行检测。
    从网络层面可对 C&C地址及矿池相关域名 /IP 进行监控,以发现其他受感染主机。 漏洞修复及病毒清理:
    手动清理
  11. 禁用并删除相关后门服务,包括:tpmagentservice、wmassrv、snmpstorsrv;
  12. 删除上述服务对应执行文件及其他相关的释放文件;
    清理脚本
    针对 Wanna 系列病毒,可以使用绿盟科技 WannaMine 清理脚本进行清理。
  13. 专家分析
    微软官方在 2017 年 3 月 14 日公布了 MS17-010 的安全公告,但如今 Wanna 系列勒索、挖矿蠕虫 病毒入侵事件仍然在各大行业时有发生。这说明企业对于已知漏洞攻击还抱有侥幸心理或者安全意识不 足,认为一段时间之后不会发生此类安全事件,放警惕;然而漏洞一旦存在,就随时可能被不法分子 利用,甚至会出现变种病毒或者其他新的利用方式。
    目前利用已知 1Day 或 NDay攻击服务器、谋取非法利益的事件越来越多,主要利用方式有数据窃取, 勒索,挖矿,发起 DDoS攻击等。企业应该重视并全面提升自身系统的安全性,从而保障业务顺畅运行, 也保护用户信息安全。
  14. 专家建议
  15. 企业网络建设中应该进行安全域的划分;办公网、生产网,区域网之间应进行严格的区分隔离。
  16. 服务器应启用防火墙,关闭不必要的端口。
  17. 建设完善的终端安全管理规范,及时更新系统补丁,尤其在重大安全漏洞公布时,及时更新并 确定所有主机更新成功。防微杜渐,防患于未然。

参考资料

绿盟 绿盟科技安全事件响应观察报告

友情链接

GB-T 37044-2018 信息安全技术 物联网安全参考模型及通用要求

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,312评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,578评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,337评论 0 333
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,134评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,161评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,303评论 1 280
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,761评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,421评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,609评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,450评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,504评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,194评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,760评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,836评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,066评论 1 257
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,612评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,178评论 2 341

推荐阅读更多精彩内容