利用Apache Struts2高危漏洞入侵伺服器,植入KoiMiner挖礦木馬,新手作者也能每天賺1個門羅幣
0x1 概述
許多企業的網站使用Apache的開源項目搭建Web伺服器,其中又有很大部分使用了Apache子項目Struts。但由於Apache Struts2產品代碼存在較多隱患,從2007年開始Struts2就頻頻爆出多個高危漏洞。
從Apache官方公布的數據來看,從2007年至2018年共公布了編號S2-001至S2-056共56個漏洞,其中僅遠程代碼執行漏洞(Remote Code Execution)就有9個。
2017年3月被報出的S2-045(CVE-2017-5638)高危漏洞,基於Jakarta Multipart解析器執行文件上傳時可能導致RCE,影響範圍為Struts 2.3.5 – Struts 2.3.31,以及Struts 2.5 – Struts 2.5.10版本,持續存在被利用進行攻擊的情況。
2018年4月騰訊御見威脅情報中心曾監測到黑客組織利用該漏洞批量入侵web伺服器植入挖礦木馬,近期御見威脅情報中心再次監測到類似的攻擊。
此次攻擊中,黑客利用攻擊工具WinStr045檢測網路上存在漏洞的web伺服器,發現存在漏洞的機器後通過遠程執行各類指令進行提權、創建賬戶、系統信息搜集,然後將用於下載的木馬mas.exe植入,進而利用mas.exe這個木馬下載器從多個C&C地址下載更多木馬:利用提權木馬o3/o6.exe、挖礦木馬netxmr4.0.exe。
由於挖礦木馬netxmr解密代碼後以模塊名「koi」載入,因此騰訊御見威脅情報中心將其命名為KoiMiner。有意思的是,入侵者為確保自己挖礦成功,會檢查系統進程中CPU資源消耗,如果CPU資源佔用超過40%,就會將其結束運行,將省下來的系統資源用於挖礦。
根據代碼溯源分析,騰訊御見威脅情報中心研究人員認為,KoiMiner系列挖礦木馬可能是新手所為,可能是在某些黑客論壇、地下挖礦組織交流社區里多人合作的「練習」作品。查看該病毒使用的門羅幣錢包,發現KoiMiner挖礦木馬每天大約收穫一個門羅幣,已賺到非法收入約15000元。
KoiMiner挖礦病毒攻擊流程
註:
Struts是一個基於MVC設計模式的Web應用框架,用戶使用該框架可以將業務邏輯代碼從表現層中清晰的分離出來,從而把重點放在業務邏輯與映射關係的配置文件上。Struts2是Struts與WebWork的結合,綜合了Struts和WebWork的優點,採用攔截器的機制來處理用戶的請求,使業務邏輯能與ServletAPI完全脫離開。
0x2 詳細分析
0x2.1 入侵
檢測目標系統是否存在S2-045漏洞
對存在漏洞的系統進行攻擊
入侵工具中供選擇的滲透命令
入侵時可以選擇執行的命令(也可自定義),供選擇的命令是Windows、linux滲透中常用的命令,包括查看系統版本信息、網路連接狀態、埠開放狀態以及向系統添加具有管理員許可權的新用戶、打開遠程連接服務等操作。
通過目錄查看命令確認C:WindowsHelp目錄和C:ProgramData目錄是否已經植入木馬,若沒有則將mas.exe木馬植入。植入時先創建C#代碼文本mas.cs,然後使用.NET程序將其編譯為可執行文件mas.exe。
首先執行命令創建mas.cs並寫入用於下載的代碼。
然後執行命令將mas.cs通過.NET程序編譯為mas.exe。
命令中利用mas.exe下載挖礦木馬netxmr4.0。
部分受攻擊目標如下:
(部分受攻擊目標)
植入的mas.exe大小只有4k,存放在目錄ProgramData下。從御見威脅情報中心的監控記錄可以看到,mas.exe從多個C2地址下載了netxmr4.exe(挖礦木馬)、o3.exe/o6.exe(提權木馬)等多個木馬。
0x2.2 提權
o3.exe利用MS16-032漏洞提升許可權
0x2.3 Netxmr4.0
0x2.3.1 代碼解密
挖礦木馬Netxmr4.0使用C#編寫並且使用ConfuserEx 對代碼進行了加密混淆,在執行前使用自帶的解密函數進行解密,然後利用C#反射機制執行解密後的模塊。
被加密的代碼保存在數組array2中。
調用解密函Decrypt對代碼進行解密。
解密後保存在數組array3中,可以看到PE文件的標誌「5A4D」。
將array3作為模塊「koi」載入得到最終執行的惡意代碼。
代碼中各個類對應功能如下:
利用C#反射機制執行模塊「koi」
0x2.3.2 爭奪資源
挖礦木馬在運行前,通過多個方法查找佔用系統CPU較高的進程,關閉進程並隱藏其文件,從而保證自身挖礦代碼運行時有充分的資源。
結束已在運行的挖礦進程。
關閉除本挖礦進程外的佔用CPU處理時間超過40%的進程,並將該進程的文件設置為隱藏、任意用戶拒絕訪問。
結束文件版本信息中不包含「Microsoft Corporation.」的taskmgr、svchost、csrss進程,並將該進程的文件設置為隱藏、任意用戶拒絕訪問。
0x2.3.3 挖礦
如果挖礦木馬版本不是「2010-2020」則從hxxp://50.232.75.165/更新下載挖礦木馬。
存有挖礦配置文件的C2地址被加密。
解密函數通過字元重組運算+base64解密得到
hxxp://www.sufeinet.com/space-uid-97643.html
解密出地址後請求該C2頁面
查找請求返回頁面中「xMFOR」字元開頭的字元(除去自身):
NqNhbLWEgYNqNhb3J5cHJbiDQRvbml6kYu1naHQg3UtRpLW8gcMvQMr3RyYXfNwGtR1bStb7Imi0Y3A6OG8UJLy9wbK1U0829sLneS1uAN1cHBaCNRyvcnR4tdtM2bXIuYgmj3c29tOjdX5ZRMzMzMvxcUTgLXUgsiw0HNDQ4NB9UuKzNYYW8tpQ91lY2tu3f8jjNHdSDUC3mMjFBZXvjyoHJNNWUf5UdZub0ZGouCDIS1pKCZGh2U1ZqNW0nc5mNCQUTk98tRUZ0ZlCf3vUckVFiv1YkTjk0aV5qGMlAyWGSpClAZRWjckGjhC0UE1Sh15C1aXFvW0Sc74UhuQnmbSpeUyY0NjMnKTlMzJ32mKGVTHg3ZyXglJ0tIblIyChNFwZkZEiYCBxQ0xi1rOtlNlJ5bxcjQajIgLXH3GKdAgeCADncqStLWRvXF9lUbmF0ZUyVGIS1sZXG8KysZlbD0PyM6hx
解密頁面中字元得到挖礦木馬配置:
-a cryptonight -o stratum+tcp://pool.supportxmr.com:3333 -u 44873Xameckc4wR21AdrM5fnoFHKZJSVj6cBADTgFTrEEN94jP2XfQZ74PMRiqoYHnBu2cCe32wLx7gKHnQpfFqCLb6Ryn2 -p x --donate-level=
門羅幣挖礦錢包:
44873Xameckc4wR21AdrM5fnoFHKZJSVj6cBADTgFTrEEN94jP2XfQZ74PMRiqoYHnBu2cCe32wLx7gKHnQpfFqCLb6Ryn2
錢包收益情況:
在門羅幣礦池地址查詢該錢包,發現累計已經賺得約16個門羅幣,而門羅幣數量還在以每天約1個門羅幣的速度持續上漲,這表明還有許多中招機器的木馬未被清除。目前門羅幣價格每個924元,該帳號已獲得門羅幣價值約15000元。
0x3 同源分析
0x3.1 多版本
從C2地址50.232.75.165獲取的多個版本挖礦木馬進行分析發現,木馬作者從2018.5.13至2018.6.28持續對木馬進行更新版本。在一共發現的4個版本代碼對比來看,木馬初始版本只有簡單挖礦功能,而新版本中對C2地址進行加密、從雲端獲取挖礦配置、創建多個服務增加駐留幾率,可以推測木馬作者可能是在邊學習邊開發木馬。
木馬歷史版本代碼結構:
版本1.0編譯日期2018-5-13 22:37:18
版本2.0,編譯日期2018-5-19 20:51:01
版本3.0編譯日期2018-5-26 10:55:02
版本4.0 編譯日期2018-6-8 23:20:33
0x3.2 自保護
利用cacls.exe將病毒目錄設置為只允許system用戶訪問;利用attrib.exe將病毒目錄設置為系統文件屬性、只讀、隱藏。
0x3.3 加解密
木馬1.0版本將C2地址使用base64加密後存放在
hxxp://www.sufeinet.com/space-uid-97643.html
運行時獲取該頁面中字元並解密得到C2地址50.232.75.165
木馬版本1.0-2.0挖礦配置文件為明文內置
-a cryptonight -o stratum+tcp://monerohash.com:5555 -u 44873Xameckc4wR21AdrM5fnoFHKZJSVj6cBADTgFTrEEN94jP2XfQZ74PMRiqoYHnBu2cCe32wLx7gKHnQpfFqCLb6Ryn2 -p x --donate-level=1
而版本3.0-4.0需要先解密獲得C2頁面地址
hxxp://www.sufeinet.com/space-uid-97643.html
然後解密C2頁面中的挖礦配置信息
0x3.4 持久性
在版本4.0中,木馬將自身拷貝到C:WindowsHelpcsrss.exe
以及C:Windowssystemcsrss.exe,然後將其設置為隱藏屬性並分別創建為服務,通過創建木馬副本的形式尋求獲得在目標系統更長時間的駐留。
0x4 總結
國內有不少培育「小黑」的各類論壇,一些學生或者對黑客技術感興趣的人員在論壇註冊帳號後,利用論壇里的資源學習相關黑客技術,會員之間也會相互交流心得或者分享實踐成果。
有的「學員」抱著純學習技術的心態在論壇里學習,也有一些人受到利益的驅使,使用學習到的「滲透」、「免殺」等技術進行非法攻擊行為。
數字加密貨幣開始興起之後,得益於該貨幣交易的匿名性,難以追蹤性,大量黑客開開始了以獲取數字加密貨幣為目的的攻擊行為。
在某些論壇上甚至可以看到公開發布的「礦馬」或「礦馬」生成器,他們使用各類黑客入侵技術如埠爆破、SQL注入、web漏洞利用等進入目標系統,然後植入挖礦木馬進行挖礦獲利。
此次捕捉到的挖礦木馬先開發了一個很簡單的版本,然後歷時近一個月更新多個版本改進代碼功能,其作者極有可能也是上述「學員」中的一員。
0x5 安全建議
1.可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar 文件,如果這個版本在Struts2.3.5 到 Struts2.3.31 ,以及Struts2.5 到 Struts2.5.10之間則存在漏洞。受影響用戶可通過Apache Struts官方網站的指導,升級伺服器版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1,以消除漏洞威脅。
2.使用騰訊御知網路空間風險雷達(網址:https://s.tencent.com/product/yuzhi/index.html)進行風險掃描和站點監控。
3.網站管理員可使用騰訊雲網站管家智能防護平台(網址:https://s.tencent.com/product/wzgj/index.html),其具備Web入侵防護,0Day漏洞補丁修復等多緯度防禦策略,可全面保護網站系統。
4.騰訊電腦管家可以攔截KoiMiner系列挖礦病毒。
0x6 IOCs
IP:
101.110.118.25
101.96.10.33
122.194.229.31
122.93.235.10
132.148.150.15
148.66.4.66
154.0.181.4
170.178.163.57
212.174.243.242
43.249.207.181
50.232.75.165
61.177.172.26
C2:
hxxp://www.sufeinet.com/space-uid-97643.html
url:
hxxp://50.232.75.165/321.exe
hxxp://50.232.75.165/641.exe
hxxp://50.232.75.165/a3.exe
hxxp://50.232.75.165/a6.exe
hxxp://50.232.75.165/c3.exe
hxxp://50.232.75.165/c6.exe
hxxp://50.232.75.165/mysql.dll
hxxp://50.232.75.165/n3.exe
hxxp://50.232.75.165/n6.exe
hxxp://50.232.75.165/netxmr.exe
hxxp://50.232.75.165/netxmr2.exe
hxxp://50.232.75.165/netxmr3.exe
hxxp://50.232.75.165/netxmr4.exe
hxxp://50.232.75.165/o3.exe
hxxp://50.232.75.165/o6.exe
hxxp://50.232.75.165/p6.exe
hxxp://50.232.75.165/svchost.exe
hxxp://50.232.75.165/x3.exe
hxxp://50.232.75.165/x6.exe
hxxp://50.232.75.165:8080/invoker/readonly
hxxp://122.194.229.31:8010/server.exe
hxxp://122.194.229.31:8010/smss.exe
hxxp://154.0.181.4:8089/cacls.exe
hxxp://154.0.181.4:8089/net1.exe
hxxp://154.0.181.4:8089/O3.EXE
hxxp://154.0.181.4:8089/O6.EXE
hxxp://154.0.181.4:8089/netxmr4.exe
hxxp://154.0.181.4/o6.exe
hxxp://154.0.181.4:8089/net4.exe
hxxp://154.0.181.4:8089/x6.exe
hxxp://154.0.181.4/netxmr4.exe
hxxp://154.0.181.4/net4.exe
hxxp://154.0.181.4/o3.exe
hxxp://212.174.243.242:9090/admin/netxmr4.exe
hxxp://212.174.243.242:9090/admin//n6.exe
hxxp://212.174.243.242:9090/admin//c3.exe
hxxp://212.174.243.242:9090/admin//n3.exe
hxxp://212.174.243.242:9090/admin/o6.exe
hxxp://212.174.243.242:9090/admin//c6.exe
hxxp://212.174.243.242:9090/admin/o3.exe
hxxp://212.174.243.242:9090/admin//x6.exe
hxxp://212.174.243.242:9090/admin/n3.exe
hxxp://212.174.243.242:9090/admin/c3.exe
hxxp://212.174.243.242/admin/o3.exe
hxxp://212.174.243.242/admin/x6.exe
hxxp://212.174.243.242/admin/netxmr4.exe
md5:
9e00b347ae118d5d40b730b72962f72d
ae3e7304122469f2de3ecbd920a768d1
2eb962efcca0ac760bf4bc6db36a97db
beac6592dbd3a479a64789e43ec20f27
33e7bf91b27bdcb423a78459e10675c5
1fc976e1a1ab01d8454b8ba786faabb6
2774758444d3d4bb26b1f15f3f8ef5e4
541ad9d388d96deede351bfd887465ca
719262382839a8d0f16c96d7ba2bbdb2
700404b69ef9f4256d748bef5303b75c
be50ec6fc63e468a344f3131d6e8bb48
c38ec6ee136fc8a12af8609565deeb69
8e5d0b0ae5854bd688587ee12b17f388
29413875237ac38bbb8e3ac217054e5e
3707c876acf78c504bd0e454e5ef5176
fc5d87aec3caf79cbbb46fd44367fd9f
ff05ed529bbfc67b166f0d8acf5b465f
fd72a9ee568f129b096627af7457f56f
ffa94bf273bd0d3b521acc71989e9fbd
TAG:騰訊御見威脅情報中心 |