挖矿事件典型案例
利用组件漏洞挖矿
-
背景介绍
2018 年初,绿盟科技应急响应团队持续接到来自金融、卫生、教育等多个行业客户的安全事件
反 馈,发现多台不同版本 WebLogic 主机均被植入了相同的恶意程序,该程序会消耗大量的主机 CPU资源。 经过对捕获到的攻击代码进行分析,发现这是一次针对 WebLogic 的 wls-wsat 组件漏洞(CVE-2017- 10271)进行远程代码执行的大范围攻击。2. 处置过程
被感染主机 tmp 目录下均存在可执行文件 watch-smartd 或 Carbon,通过分析上述文件均为不同 版本的虚拟币挖矿程序 cpu
miner,因此运行后会大量消耗服务器 CPU 及内存资源;该挖矿程序不存在 维持进程和复活功能,但在清除后又会不定期出现。收集信息得知挖矿程序的所属用户和运行用户与 WebLogic 的运行用户相同。查看发现 watch- smartd 进程的父进程为 WebLogic。由此可以确定该事件与 WebLogic 漏洞有关。
通过对感染主机抓包捕获攻击代码以及 WebLogic 日志分析,证实攻击者是利用 WebLogic wls
- wsat 组件远程代码执行漏洞(CVE-2017-10271)下载并运行挖矿程序。排查过程可参考下图:
图 7 入侵过程
首先攻击者通过该漏洞执行 curl 命令,下载名为 setup-watch 的 shell 脚本,其作用为下载并运行 最终的挖矿程序。该 shell 脚本中定义了挖矿程序的下载地址、下载方式、保存路径、运行参数等。
通过对服务器上的样本程序进行分析,绿盟安全人员发现 watch-smartd 或 Carbon 为同一挖矿程序 程序的不同版本。攻击者主要利用该程序挖取在黑市流通的 XMR(门罗币),其对外连接的矿池域名为: minexmr.com、minergate.com。
-
处置方案
从主机层面可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对 C&C地址及矿池 相关域名 /IP 进行监控,以发现其他受感染主机。
针对 Linux主机,首先查看 /tmp 目录中是否存在属主为 watch-smartd、Carbon、default。
通过进程及系统资源分析,确认是否存在启动用户为
漏洞修复及验证:
- 首先在网络中通过端口探测方式,检测对外开放了 可通过网络边界设备对相应端口进行封禁。
�WebLogic 运行账户的相关可疑文件,如: WebLogic 运行的相关可疑进程。
T3 协议的 WebLogic 主机,若非业务需要,
图 8 检测 T3 协议
- 安装 Oracle 官方提供的 WebLogic 2017 年 10 月份补丁,漏洞通告及相关补丁参考链接:
- 若无法安装上述补丁,还可根据主机实际环境,删除或重命名 WebLogic 目录中以下 war 包及 目录。
重启 WebLogic 后,通过 console 端口(T3 协议)访问
-
专家分析 此次攻击主要目的为下载并执行挖矿程序。尽管该漏洞早已在
�wls-wsat,验证响应状态码是否为 404。
Oracle 官方发布的 2017 年 10 月份
的补丁中修复,即安装了最新补丁的主机将不受此次攻击影响,但还是存在大量的主机被入侵。这表明 很多企业对于网络安全建设的长期忽,对已知高风险漏洞的不重,才会大量爆发 WebLogic 挖矿事 件而付出惨痛代价。漏洞一旦存在,就随时可能被不法分子利用,甚至会导致重大资产的损失和承担法
律责任。
目前黑色产业链中利用已知 1Day 或 NDay 攻击服务器,谋取利益的事件越来越多。企业应该重 并全面提升自身系统的安全性,从而保障业务顺畅运行,也保护用户信息安全。
4.2.1.5 专家建议
- 企业需要重自身安全制度的建设,与专业安全厂商建立合作机制,共同抵御网络攻击,保证 企业自身业务的正常运行。
- 建设完善的企业安全管理规范,及时更新补丁,尤其在重大安全漏洞公布时,及时更新并确定 所有相关服务器更新成功。防微杜渐,防患于未然。
及其变种
-
背景介绍
2018 年,绿盟科技应急响应团队持续接到 WannaMine 挖矿的事件反馈。该蠕虫感染计算机后会向 计算机中植入挖矿病毒,导致电脑资源被大量占用,无法正常运行,危害巨大。但至今仍有大量主机未 安装安全补丁,导致被后续的 Wanna 系列变种病毒感染。
2018 年 3 月,WannaCry 勒索病毒出现变种,WannaMine 挖矿病毒诞生。
2018 年 5 月,WannaMine 出现变种(WannaMine2.0)。
2018 年 11 月,WannaMine2.0 再次出现变种(WannaMine 3.0)。
在局域网内,WannaMine 家族利用 SMB协议漏洞,快速横向扩散。WannaMine 家族 2.0、3.0 变种, 加入了一些免杀技术,传播机制与 WannaCry 勒索病毒一致。
-
处理过程
WannaMine 病毒使用“永恒之蓝”漏洞入侵服务器,然后植入挖矿程序,并扫描同网段主机传播漏洞。 特征图如下:
图 9 :病毒特征
WannaMine 病毒攻击传播过程:
- srv(tpmagentservice.dll)主服务,开机启动,加载 spoolsv。
- spoolsv(spoolsv.exe)对局域网进行 445 端口扫描,确定可攻击的内网主机。同时启动挖矿 程序 hash(TrueServiceHost.exe)、漏洞攻击程序 svchost.exe 和 spoolsv.exe(NSA 工具包)。
- svchost.exe 执行“永恒之蓝”漏洞溢出攻击(目的 IP 由第 2 步确认),成功后 spoolsv. exe(NSA 黑客工具包 DoublePulsar 后门)安装后门,加载后门 dll。
- 后门 dll(x86.dll、x64.dll)执行后,负责将 MsraReportDataCache32.tlb 从本地复制到目的 IP主机, 再解压该文件,注册 srv 主服务,启动 spoolsv 执行攻击。
WannaMine 病毒每攻陷一台服务器,都将重复以上步骤。攻击过程如下图:
图 10 :攻击过程
事件排查—网络层:
通过出口防火墙或其他类似安全设备,对相关的后门域名、挖矿域名及 Kill Switch域名(www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com)请求进行监测,以发现内部其他感染主机。
部分域名信息如下:
表 8 部分域名信息
|序号|域名|域名解析地址|
事件排查—主机层:
- 检查主机是否存在以下进程: TrustedHostServices.exe(WannaMine1.0-2.0 门罗币挖矿程序) trustedhostex.exe(WannaMine3.0 门罗币挖矿程序) Spoolsv.exe(有 445 端口扫描行为)
- 检查主机是否存在以下服务:
Tpmagentservice(WannaMine1.0 服务) wmassrv(WannaMine2.0 服务)
snmpstorsrv(WannaMine3.0 服务)
- 检查主机中是否存在以下目录或文件 :
WannaMine1.0 目录: • C:\Windows\SecureBootThemes
WannaMine2.0 目录:
WannaMine3.0 目录:
\4. 相关文件包括:
C:\Windows\system32\tpmagentservice.dll(WannaMine1.0 相关) C:\Windows\system32\TrustedHostServices.exe(WannaMine1.0 相关) C:\Windows\System32\MsraReportDataCache32.tlb(WannaMine1.0 相关) C:\Windows\system32\wmassrv.dll(WannaMine2.0 相关) C:\Windows\system32\EnrollCertXaml.dll(WannaMine2.0 相关) C:\Windows\system32\HalPluginsServices.dll(WannaMine2.0 相关) C:\Windows\system32\snmpstorsrv.dll(WannaMine3.0 相关) C:\Windows\system32\trustedhostex.exe(WannaMine3.0 相关) C:\Windows\system32\marstracediagnostics.xml(WannaMine3.0 相关)
-
处置方案
从主机层面可通过监控主机系统资源或进程分析方式进行检测。
从网络层面可对 C&C地址及矿池相关域名 /IP 进行监控,以发现其他受感染主机。 漏洞修复及病毒清理:
手动清理
- 禁用并删除相关后门服务,包括:tpmagentservice、wmassrv、snmpstorsrv;
- 删除上述服务对应执行文件及其他相关的释放文件;
清理脚本
针对 Wanna 系列病毒,可以使用绿盟科技 WannaMine 清理脚本进行清理。
-
专家分析
微软官方在 2017 年 3 月 14 日公布了 MS17-010 的安全公告,但如今 Wanna 系列勒索、挖矿蠕虫 病毒入侵事件仍然在各大行业时有发生。这说明企业对于已知漏洞攻击还抱有侥幸心理或者安全意识不 足,认为一段时间之后不会发生此类安全事件,放警惕;然而漏洞一旦存在,就随时可能被不法分子 利用,甚至会出现变种病毒或者其他新的利用方式。
目前利用已知 1Day 或 NDay攻击服务器、谋取非法利益的事件越来越多,主要利用方式有数据窃取, 勒索,挖矿,发起 DDoS攻击等。企业应该重视并全面提升自身系统的安全性,从而保障业务顺畅运行, 也保护用户信息安全。
- 专家建议
- 企业网络建设中应该进行安全域的划分;办公网、生产网,区域网之间应进行严格的区分隔离。
- 服务器应启用防火墙,关闭不必要的端口。
- 建设完善的终端安全管理规范,及时更新系统补丁,尤其在重大安全漏洞公布时,及时更新并 确定所有主机更新成功。防微杜渐,防患于未然。
参考资料
绿盟 绿盟科技安全事件响应观察报告
友情链接
GB-T 37044-2018 信息安全技术 物联网安全参考模型及通用要求