“8220”挖礦組織活動分析
時間 : 2022年04月28日 來源: 安天CERT
1.概述
自2022年一月以來,安天CERT陸續捕獲到多批次“8220”挖礦組織攻擊樣本,該挖礦組織自2017年出現,持續活躍,同時向Windows與Linux雙平臺傳播惡意腳本,下載的載荷是門羅幣挖礦程序以及其他僵尸網絡程序、端口掃描爆破工具等。
“8220”是一個長期活躍并且擅長使用漏洞進行攻擊并部署挖礦程序的組織,該組織早期使用Docker鏡像傳播挖礦木馬,后來逐步利用多個漏洞進行攻擊,如WebLogic漏洞、Redis未授權訪問漏洞、Hadoop Yarn未授權訪問漏洞和Apache Struts漏洞等。在2020年發現該組織開始使用SSH爆破進行橫向攻擊傳播。自Apache Log4j 2遠程代碼執行漏洞曝光后,該組織利用該漏洞制作漏洞利用腳本進行傳播,影響范圍廣。
該組織在Windows平臺上使用PowerShell腳本下載門羅幣挖礦程序,該程序使用開源挖礦程序XMRig進行挖礦,版本號為6.16.2。除此之外,該腳本還具有連接礦池地址和創建計劃任務持久化等功能。在Linux平臺上使用Shell腳本下載挖礦程序,并且該腳本還會橫向移動、下載Tsunmai僵尸網絡、掃描爆破腳本等惡意文件。經驗證,該挖礦程序由開源門羅幣挖礦程序XMRig改編,并且會隱藏挖礦進程和創建計劃任務等操作。
經驗證,安天智甲終端防御系統(簡稱IEP)Windows與Linux版本可實現對該挖礦木馬的有效查殺和對用戶終端的切實防護。
2.事件對應的ATT&CK映射圖譜
攻擊者針對目標系統投放挖礦木馬,梳理本次攻擊事件對應的ATT&CK映射圖譜如下圖所示。
圖2-1 事件對應的ATT&CK映射圖譜
攻擊者使用的技術點如下表所示:
表2-1 事件對應的ATT&CK技術行為描述表
|
ATT&CK階段/類別 |
具體行為 |
注釋 |
|
偵察 |
主動掃描 |
利用漏洞掃描 |
|
初始訪問 |
利用面向公眾的應用程序 |
利用Java等面向公眾的應用程序 |
|
執行 |
利用命令和腳本解釋器 |
使用PowerShell和shell腳本 |
|
持久化 |
利用計劃任務/工作 |
設置計劃任務 |
|
防御規避 |
隱藏行為 |
隱藏惡意進程 |
|
混淆文件或信息 |
使用Base64進行混淆 |
|
|
憑證訪問 |
暴力破解 |
暴力破解SSH服務 |
|
發現 |
掃描網絡服務 |
掃描SSH服務 |
|
收集 |
收集本地系統數據 |
收集本地系統敏感信息 |
|
影響 |
資源劫持 |
利用系統CPU資源 |
3.攻擊流程和傳播途徑
3.1 攻擊流程
“8220”組織在Windows平臺中使用名為“xms.ps1”的PowerShell腳本執行主要功能,具體功能為下載名為“wxm.exe”的挖礦程序,該挖礦程序屬于開源門羅幣挖礦程序XMRig、關閉防火墻、結束競品挖礦程序進程、隱藏執行挖礦參數,連接礦池地址和錢包地址并且添加計劃任務和注冊表自啟動項,達到持久化目的等。在Linux平臺中使用名為“xms”的Shell腳本執行主要功能,具體功能為最大化利用系統資源、關閉防火墻、結束競品挖礦程序、卸載安全軟件、創建計劃任務持久化、對挖礦程序進行MD5校驗、下載Tsunami僵尸網絡程序和挖礦程序、收集主機身份信息進行橫向移動等功能。Tsunami僵尸網絡程序的主要功能為遠程控制、DDoS攻擊和其他惡意行為。
圖3-1 攻擊流程
3.2 傳播途徑
獲取url地址下載“testlog2.py”文件并執行。
圖3-2 Log4j 2利用腳本
Log4j 2漏洞利用代碼。
圖3-3 Log4j 2利用代碼
3.3 攻擊事件樣本整理
根據攻擊事件對樣本進行梳理得到如下信息:
表3-1 攻擊事件樣本整理
|
樣本下載地址 |
詳細說明 |
|
hxxp[:]//a.oracleservice.top/xms |
Linux惡意shell |
|
hxxp[:]//a.oracleservice.top/bashirc.i686 |
Tsunami僵尸網絡程序 |
|
hxxp[:]//a.oracleservice.top/log4.sh |
Log4j 2利用腳本 |
|
hxxp[:]//a.oracleservice.top/wxm.exe |
Windows門羅幣挖礦程序 |
|
hxxp[:]//a.oracleservice.top/bashirc. |
Tsunami僵尸網絡程序 |
|
hxxp[:]//a.oracleservice.top/bashirc.x86_64 |
Tsunami僵尸網絡程序 |
|
hxxp[:]//a.oracleservice.top/scan.sh |
掃描爆破 |
|
hxxp[:]//a.oracleservice.top/load.sh |
下載Tsunami僵尸網絡程序 |
|
hxxp[:]//a.oracleservice.top/xms.ps1 |
Windows惡意PowerShell |
|
hxxp[:]//a.oracleservice.top/x86_64 |
Linux挖礦程序 |
表3-2 Windows 挖礦腳本中的礦池地址和錢包地址
|
礦池地址 |
錢包地址 |
|
b.oracleservice.top |
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ |
|
198.23.214.117:8080 |
|
|
51.79.175.139:8080 |
表3-3 Linux 挖礦程序中的礦池地址和錢包地址
|
礦池地址 |
錢包地址 |
|
146.59.198.38:8080 |
46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ |
|
51.79.175.139:8080 |
4.防護建議
針對非法挖礦,安天建議企業采取如下防護措施:
1.安裝終端防護:安裝反病毒軟件,針對不同平臺建議安裝安天智甲終端防御系統Windows/Linux版本;
2.加強SSH口令強度:避免使用弱口令,建議使用16位或更長的密碼,包括大小寫字母、數字和符號在內的組合,同時避免多個服務器使用相同口令;
3.及時更新補丁:建議開啟自動更新功能安裝系統補丁,服務器、數據庫、中間件等易受攻擊部分應及時更新系統補丁;
4.及時更新第三方應用補丁:建議及時更新第三方應用如WebLogic、JBoss、Redis、Hadoop和Apache Struts等應用程序補丁;
5.開啟日志:開啟關鍵日志收集功能(安全日志、系統日志、錯誤日志、訪問日志、傳輸日志和Cookie日志),為安全事件的追蹤溯源提供基礎;
6.主機加固:對系統進行滲透測試及安全加固;
7.部署入侵檢測系統(IDS):部署流量監控類軟件或設備,便于對惡意代碼的發現與追蹤溯源。安天探海威脅檢測系統 (PTD)以網絡流量為檢測分析對象,能精準檢測出已知海量惡意代碼和網絡攻擊活動,有效發現網絡可疑行為、資產和各類未知威脅;
8.安天服務:若遭受惡意軟件攻擊,建議及時隔離被攻擊主機,并保護現場等待安全工程師對計算機進行排查;安天7*24小時服務熱線:400-840-9234。
經驗證,安天智甲終端防御系統(簡稱IEP)Windows版和Linux版均可實現對該挖礦木馬和僵尸網絡程序的查殺與有效防護。
圖4-1 安天智甲Windows版有效防護
圖4-2 安天智甲Linux版有效防護
5.樣本分析
5.1 Windows樣本分析
表5-1 腳本文件
|
病毒名稱 |
Trojan/Win32.Ymacco |
|
原始文件名 |
xms.ps1 |
|
MD5 |
52EC97E2246C28FA92A0C37A510BF67E |
|
文件大小 |
2.16KB (2,212字節) |
|
解釋語言 |
PowerShell |
|
VT首次上傳時間 |
2021-11-19 |
|
VT檢測結果 |
22/57 |
定義門羅幣挖礦程序地址、保存路徑和挖礦程序名等信息以及關閉防火墻等。
圖5-1 下載挖礦程序
結束競品挖礦程序進程,遍歷進程中的3333、4444、5555、7777和9000連接的端口,然后結束以上端口連接的進程。
圖5-2 結束競品
下載挖礦程序wxm.exe并重命名為本地文件名,隱藏執行挖礦參數,連接礦池地址和錢包地址。添加計劃任務和注冊表自啟動項,以達到持久化目的。經驗證,下載的挖礦程序為開源門羅幣挖礦程序XMRig,版本號為6.16.2。
圖5-3 連接礦池
5.2 Linux樣本分析
5.2.1 xms(Linux惡意腳本)
表5-2 腳本文件
|
病毒名稱 |
Trojan[Downloader]/Shell.Miner |
|
原始文件名 |
xms |
|
MD5 |
6A4E5C6EC8EFE777FA85E240A02EB883 |
|
文件大小 |
11.54KB (11,820字節) |
|
解釋語言 |
Shell |
|
VT首次上傳時間 |
2022-04-20 |
|
VT檢測結果 |
28/58 |
關閉防火墻,將用戶最大可用的進程數調整到50000,修改內存參數,最大化利用系統資源。結束競品挖礦程序,刪除文件屬性,使文件可以被修改。
圖5-4 系統資源最大化
下載兩個腳本文件,作用是卸載被感染主機上的安全軟件。
圖5-5 卸載安全軟件
確保與惡意域名的連通性,創建計劃任務持久化。
圖5-6 創建計劃任務
對挖礦程序進行MD5校驗。
圖5-7 MD5校驗
通過網絡連接確定挖礦程序和Tsunami僵尸程序運行情況,如果沒有運行,重新下載并執行。
圖5-8 下載Tsunami僵尸程序
維持計劃任務的正常運行,一旦檢測到有計劃任務被刪除,就會重新執行計劃任務。
圖5-9 維持計劃任務運行
從/.ssh/config,.bash_history,/.ssh/known_hosts等主機中存儲的SSH密鑰、歷史記錄和配置文件等進行搜索和匹配,來發現攻擊目標,并找到與其相對應的身份驗證的信息,檢查~/.ssh/config、~/.bash_history和.ssh/known_hosts嘗試進行橫向移動等操作。
圖5-10 橫向移動
5.2.2 bashirc(Tsunami僵尸網絡程序)
Tsunami僵尸網絡基于Internet中繼聊天(IRC)的命令控制服務器操作,在受感染設備的配置中修改DNS服務器設置,使來自物聯網設備的流量被重定向到攻擊者控制的惡意服務器。Tsunami僵尸網絡主要使用下載器下載、利用漏洞、遠程登錄掃描等方式進行傳播。Tsunami僵尸網絡程序的主要功能為遠程控制、DDoS攻擊和其他惡意行為。安天曾在《精準投放Tsunami僵尸網絡和“魔鏟”挖礦木馬的行動分析》中具體分析過Tsunami僵尸網絡,在此不再過多分析[1]。
圖5-11 Tsunami僵尸網絡
5.2.3 scan(掃描爆破)
利用掃描工具對內網22端口進行爆破并將結果保存在/tmp/ssh_vuln.txt文件中,篩選過濾到/tmp/ips_check文件中,爆破完成后下載xms(Linux惡意腳本)并執行。
圖5-12 內網掃描爆破
5.2.4 load(下載Tsunami僵尸網絡程序)
下載sshexec和sshpass,如果下載不成功,下載lan.tar.gz,該壓縮包中包含Tsunami僵尸網絡程序,解壓后執行,收集敏感信息。
圖5-13 收集敏感信息
5.2.5 x86_64(Linux挖礦程序)
經驗證,該挖礦程序為開源挖礦程序XMRig改編,無需配置文件即可運行,運行后隱藏自身進程,創建計劃任務持久化。
圖5-14 挖礦程序流量
6.IoCs
|
IoCs |
|
6A4E5C6EC8EFE777FA85E240A02EB883 |
|
0BA9E6DCFC7451E386704B2846B7E440 |
|
093EDA279900756DCE56FC813427A6B4 |
|
9E47D3A502A7B2BCEC1F1375430CA0EB |
|
3EDCDE37DCECB1B5A70B727EA36521DE |
|
9E935BEDB7801200B407FEBDB793951E |
|
17E55153BE42BFA30BEB2E613F41732E |
|
4867D53919A2DF7F168BCCE76AD74543 |
|
FDF3D43F2DC9AF4018B42A192D3D41E7 |
|
52EC97E2246C28FA92A0C37A510BF67E |
|
EB2F5E1B8F818CF6A7DAFE78AEA62C93 |
|
194.38.20.31 |
|
185.157.160.214 |
|
209.141.40.190 |
|
a.oracleservice.top |
|
hxxp[:]//a.oracleservice.top/xms |
|
hxxp[:]//a.oracleservice.top/bashirc.i686 |
|
hxxp[:]//a.oracleservice.top/log4.sh |
|
hxxp[:]//a.oracleservice.top/armv7l |
|
hxxp[:]//a.oracleservice.top/wxm.exe |
|
hxxp[:]//a.oracleservice.top/bashirc. |
|
hxxp[:]//a.oracleservice.top/bashirc.x86_64 |
|
hxxp[:]//a.oracleservice.top/scan.sh |
|
hxxp[:]//a.oracleservice.top/load.sh |
|
hxxp[:]//a.oracleservice.top/logic.sh |
|
hxxp[:]//a.oracleservice.top/xms.ps1 |
|
hxxp[:]//a.oracleservice.top/x86_64 |
|
hxxp[:]//bash.givemexyz.in |