1. 首页
  2. 网络安全新闻

WannaMine挖矿木马活跃 十四万服务器受攻击

WannaMine挖矿木马活跃 十四万服务器受攻击

一、背景

腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。

在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。

腾讯安全御见威胁情报中心展开事件调查,结果发现,这是由大型挖矿僵尸网络WannaMine发起的攻击事件:攻击者利用SSH弱口令爆破成功后会植入shell后门以及brootkit后门程序,并通过SSH在内网横向传播,受害机器接收远程指令安装(包括但不限于)挖矿木马、DDoS攻击模块。

SSH代表安全外壳(Secure Shell),它现在是通过互联网访问网络设备和服务器的主要协议之一。SSH主要用在所有流行的操作系统上,比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。SSH默认情况使用端口号22,我们通过zoomeye查找开放22端口的设备,发现全球有超过1亿台设备开放了该端口,这意味着超过1亿台设备有被爆破攻击的可能。

根据腾讯安全御见威胁情报中心的监测数据,WannaMine自2019年6月开始在国内呈现新的快速增长趋势,目前已影响近14万台设备。

病毒感染地区分布前三名分别为:广东(20.3%)、江苏(7.7%)、浙江(7%)。

受WannaMine病毒影响的主要行业为工业企业(34.11%),其次为互联网企业(10.85%)和教育行业(10.08%)。

二、详细分析

分析发现,此次攻击事件中WannaMine开始将攻击目标转向Linux系统,其行为主要具有以下特点:
1、会获取被感染机器的SSH连接记录,从而攻击该机器登录过的所有远程服务器,以达到横向传播的目的;

2、检测中招机器上的“安全狗”、“安骑士”、“云锁”、“悬镜卫士”等12种服务器防护软件,针对每一款软件进行退出及删除;
3、将守护脚本代码添加至Linux启动项、定时任务,以达到持久化;最后清除挖矿竞争对手,开启挖矿,并尝试利用Linux内核提权漏洞CVE-2016-5195获取系统Root权限;

4、植入Linux平台DDoS木马“BillGates”,该木马伪装成Linux系统工具“ps”,“lsof”和”netstat”等进行隐藏,具有远程shell、作为客户端或服务器运行的功能。“BillGates”接收远程指令,对目标进行多种类型的DDoS攻击。

Shell

在通过漏洞攻击、爆破攻击进入Linux系统后,病毒植入“Shell”脚本。脚本首先进行变量声明,指定后续需要用到的网络地址,文件路径等信息。
指定木马远程地址和目录、以及文件hash:
temp_remote_host: 远程地址
sodd_info_arr: DDoS木马
tiktoor_info_arr: brootkit后门
pxe_info_arr: CVE-2016-5195内核提权

木马相关参数:

下载文件保存目录:DownloadPath=”/usr/lib/…”
Shell进程名:ShellProceName=”diskmanagerd”
DDoS木马进程名:soddProceName=”kacpi_notify”
Shell进程权限:shell_privilege=1
系统类型:OsType=1
校验方法:verify_method=”md5sum”
Shell参数:ShellArg=$1
当前版本:Ver=1.0

对抗杀软

通过ls -l /etc/init.d/$servicename检测以下防护服务:
Safedog:安全狗
aegis:安骑士
yunsuo:云锁
clamd:ClamAV
avast:Avast
avgd:AVG
cmdavd:COMODO Antivirus
cmdmgd:COMODO Antivirus
drweb-configd:Dr.Web
drweb-spider-kmod:Dr.Web
esets:ESET NOD32 Antivirus
xmirrord:悬镜服务器卫士

内核提权

function RunInBack(){}检查shell是否使用/sbin/init运行,如果不是则将脚本移动到以前具有写入权限(Rwx)的文件夹,其名称为“diskmanagerd”(名称在$ShellProceName名称变量中指定),然后将脚本尝试使用nohup实用程序重新运行,或在未安装nohup时仅在后台运行。

三、总结

WannaMine攻击代码呈现高度系统化、定制化的特点,从首次出现之后,其载荷托管IP地址会在没一次重要更新之后进行切换。而观察历史托管IP与IP解析到的域名可以发现,跨时期、跨版本的攻击代码又存在使用相同的托管域名(标红域名)的情况,因此推测该病毒团伙存在在向其他团伙提供攻击武器的可能。

本文转自腾讯御见威胁情报中心,本文观点不代表安全时代立场,转载请联系原作者。

发表评论

电子邮件地址不会被公开。 必填项已用*标注