Apache Struts2高危漏洞致企业服务器被入侵安装KoiMiner挖矿木马

0×5 安然建议

1.可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,假如这个版本在Struts2.3.5 到 Struts2.3.31 ,以及Struts2.5 到 Struts2.5.10之间则存在破绽

0×1 概述

许多企业的网站应用Apache的开源项目搭建http办事器,此中又有很大年夜部分应用了Apache子项目Struts但因为Apache Struts2产品代码存在较多隐患,从2007年开始Struts2就几回再三爆出多个高危破绽

从Apache官方公布的数据来看,从2007年至2018年共公布了编号S2-001至S2-056共56个破绽,此中仅远程代码履行破绽(Remote Code Execution)就有9个

2017年3月被报出的S2-045(CVE-2017-5638)高危破绽,基于Jakarta Multipart解析器履行文件上传时可能导致RCE,影响范围为Struts 2.3.5 – Struts 2.3.31,以及Struts 2.5 – Struts 2.5.10版本,持续存在被使用进行进击的环境

2018年4月腾讯御见要挟情报中间曾监测到黑客组织使用该破绽批量入侵web办事器植入挖矿木马(详情见《企业未修复Apache Struts 2破绽致Web办事器被批量入侵》一文),近期御见要挟情报中间再次监测到类似的进击

这次进击中,黑客使用进击对象WinStr045检测收集上存在破绽的web办事器,发明存在破绽的机械后经由过程远程履行种种指令进行提权、创建账户、系统信息汇集,然后将用于下载的木马mas.exe植入,进而使用mas.exe这个木马下载器从多个C&C地址下载更多木马:使用提权木马o3/o6.exe、挖矿木马netxmr4.0.exe

因为挖矿木马netxmr解密代码后以模块名“koi”加载,是以腾讯御见要挟情报中间将其命名为KoiMiner故意思的是,入侵者为确保自己挖矿成功,会反省系统进程中CPU资本耗损,假如CPU资本占用跨越40%,就会将其停止运行,将省下来的系统资本用于挖矿

根据代码溯源阐发,腾讯御见要挟情报中间钻研职员觉得,本次KoiMiner系列挖矿木马可能是某些黑客论坛、地下挖矿组织交流社区里多人相助的“演习”作品

进击流程

注:Struts是一个基于MVC设计模式的Web利用框架,用户应用该框架可以将营业逻辑代码从体现层中清晰的分离出来,从而把重点放在营业逻辑与映射关系的设置设置设备摆设摆设文件上Struts2是Struts与WebWork的结合,综合了Struts和WebWork的优点,采纳拦截器的机制来处置惩罚用户的哀求,使营业逻辑能与ServletAPI完全离开开

0×2 具体阐发

0×2.1 入侵

检测目标系统是否存在S2-045破绽

对存在破绽的系统进行进击

入侵对象中供选择的渗透敕令

入侵时可以选择履行的敕令(也可自定义),供选择的敕令是Windows、linux渗透中常用的敕令,包括查看系统版本信息、收集连接状态、端口开放状态以及向系统添加具有治理员权限的新用户、打开远程连接办事等操作

经由过程目录查看敕令确认C:WindowsHelp目录和C:ProgramData目录是否已经植入木马,若没有则将mas.exe木马植入植入时先创建C#代码文本mas.cs,然后应用.NET法度榜样将其编译为可履行文件mas.exe

首先履行敕令创建mas.cs并写入用于下载的代码

然后履行敕令将mas.cs经由过程.NET法度榜样编译为mas.exe

敕令中使用mas.exe下载挖矿木马netxmr4.0

部分受进击目标如下:

植入的mas.exe大年夜小只有4k,寄放在目录ProgramData下从御见要挟情报中间的监控记录可以看到,mas.exe从多个C2地址下载了netxmr4.exe(挖矿木马)、o3.exe/o6.exe(提权木马)等多个木马

[1] [2] [3] [4]下一页

0×2.2 提权

o3.exe使用MS16-032破绽提升权限

0×2.3 Netxmr4.0

0×2.3.1 代码解密

挖矿木马Netxmr4.0应用C#编写并且应用ConfuserEx 对代码进行了加密肴杂,在履行前应用自带的解密函数进行解密,然后使用C#反射机制履行解密后的模块

被加密的代码保存在数组array2中

调用解密函Decrypt对代码进行解密

解密后保存在数组array3中,可以看到PE文件的标志“4D5A”

将array3作为模块“koi”加载获得终极履行的恶意代码

代码中各个类对应功能如下:

使用C#反射机制履行模块“koi”

0×2.3.2 争夺资本

挖矿木马在运行前,经由过程多个措施查找占用系统CPU较高的进程,关闭进程并暗藏其文件,从而包管自身挖矿代码运行时有充分的资本

停止已在运行的挖矿进程

关闭除本挖矿进程外的占用CPU处置惩罚光阴跨越40%的进程,并将该进程的文件设置为暗藏、随意率性用户回绝造访

停止文件版本信息中不包孕“Microsoft Corporation.”的taskmgr、svchost、csrss进程,并将该进程的文件设置为暗藏、随意率性用户回绝造访

0×2.3.3 挖矿

假如挖矿木马版本不是“2010-2020”则从hxxp://50.232.75.165/更新下载挖矿木马

存有挖矿设置设置设备摆设摆设文件的C2地址被加密

解密函数经由过程字符重组运算+base64解密获得

hxxp://www.sufeinet.com/space-uid-97643.html

解密出地址后哀求该C2页面

查找哀求返回页面中“xMFOR”字符开首的字符(撤除自身):

NqNhbLWEgYNqNhb3J5cHJbiDQRvbml6kYu1naHQg3UtRpLW8gcMvQMr3RyYXfNwGtR1bStb7Imi0Y3A6OG8UJLy9wbK1U0829sLneS1uAN1cHBaCNRyvcnR4tdtM2bXIuYgmj3c29tOjdX5ZRMzMzMvxcUTgLXUgsiw0HNDQ4NB9UuKzNYYW8tpQ91lY2tu3f8jjNHdSDUC3mMjFBZXvjyoHJNNWUf5UdZub0ZGouCDIS1pKCZGh2U1ZqNW0nc5mNCQUTk98tRUZ0ZlCf3vUckVFiv1YkTjk0aV5qGMlAyWGSpClAZRWjckGjhC0UE1Sh15C1aXFvW0Sc74UhuQnmbSpeUyY0NjMnKTlMzJ32mKGVTHg3ZyXglJ0tIblIyChNFwZkZEiYCBxQ0xi1rOtlNlJ5bxcjQajIgLXH3GKdAgeCADncqStLWRvXF9lUbmF0ZUyVGIS1sZXG8KysZlbD0PyM6hx

解密页面中字符获得挖矿木马设置设置设备摆设摆设:

-a cryptonight -o stratum+tcp://pool.supportxmr.com:3333 -u 44873Xameckc4wR21AdrM5fnoFHKZJSVj6cBADTgFTrEEN94jP2XfQZ74PMRiqoYHnBu2cCe32wLx7gKHnQpfFqCLb6Ryn2 -p x –donate-level=

门罗币挖矿钱包:

44873Xameckc4wR21AdrM5fnoFHKZJSVj6cBADTgFTrEEN94jP2XfQZ74PMRiqoYHnBu2cCe32wLx7gKHnQpfFqCLb6Ryn2

上一页[1] [2] [3] [4]下一页

钱包收益环境:

在门罗币矿池地址查询该钱包,发明累计已经赚得约16个门罗币,而门罗币数量还在以天天约1个门罗币的速率持续上涨,这注解还有许多中招机械的木马未被清除今朝门罗币价格每个924元,该帐号已得到门罗币代价约15000元

0×3 同源阐发

0×3.1 多版本

从C2地址50.232.75.165获取的多个版本挖矿木马进行阐发发明,木马作者从2018.5.13至2018.6.28持续对木马进行更新版本在一共发明的4个版本代码比较来看,木马初始版本只有简单挖矿功能,而新版本中对C2地址进行加密、从云端获取挖矿设置设置设备摆设摆设、创建多个办事增添驻留几率,可以推想木马作者可能是在边进修边开拓木马

木马历史版本代码布局:

版本1.0编译日期2018-5-13 22:37:18

版本2.0,编译日期2018-5-19 20:51:01

版本3.0编译日期2018-5-26 10:55:02

版本4.0编译日期2018-6-8 23:20:33

0×3.2 自保护

使用cacls.exe将病毒目录设置为只容许system用户造访;使用attrib.exe将病毒目录设置为系统文件属性、只读、暗藏

0×3.3 加解密

木马1.0版本将C2地址应用base64加密后寄放在

hxxp://www.sufeinet.com/space-uid-97643.html

运行时获取该页面中字符并解密获得C2地址50.232.75.165

木马版本1.0-2.0挖矿设置设置设备摆设摆设文件为明文内置

-a cryptonight -o stratum+tcp://monerohash.com:5555 -u 44873Xameckc4wR21AdrM5fnoFHKZJSVj6cBADTgFTrEEN94jP2XfQZ74PMRiqoYHnBu2cCe32wLx7gKHnQpfFqCLb6Ryn2 -p x –donate-level=1

而版本3.0-4.0必要先解密得到C2页面地址

hxxp://www.sufeinet.com/space-uid-97643.html

然后解密C2页面中的挖矿设置设置设备摆设摆设信息

0×3.4 持久性

在版本4.0中,木马将自身拷贝到C:\Windows\Help\csrss.exe

以及C:\Windows\system\csrss.exe,然后将其设置为暗藏属性并分手创建为办事,经由过程创建木马副本的形式寻求得到在目标系统更长光阴的驻留

0×4 总结

海内有不少培植“小黑”的种种论坛,一些门生或者对黑客技巧感兴趣的职员在论坛注册帐号后,使用论坛里的资本进修相关黑客技巧,会员之间也会互订交流心得或者分享实践成果

有的“学员”抱着纯进修技巧的心态在论坛里进修,也有一些人受到利益的驱策,应用进修到的“渗透”、“免杀”等技巧进行不法进击行径

数字加密泉币开始兴起之后,得益于该泉币买卖营业的匿名性,难以追踪性,大年夜量黑客开始了以获取数字加密泉币为目的的进击行径

在某些论坛上以致可以看到公开宣布的“矿马”或“矿马”天生器,他们应用种种黑客入侵技巧如端口爆破、SQL注入、web破绽使用等进入目标系统,然后植入挖矿木马进行挖矿获利

上一页[1] [2] [3] [4]下一页

这次捕捉到的挖矿木马先开拓了一个很简单的版本,然后历时近一个月更新多个版本改进代码功能,其作者极有可能也是上述“学员”中的一员受影响用户可进级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以打消破绽影响

2.应用腾讯御知收集空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控,及时修复Web办事器安然破绽

3.网站治理员可应用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),其具备Web入侵防护,0Day破绽补丁修复等多纬度防御策略,可周全保护网站系统

0×6 IOCs

IP:

101.110.118.25

101.96.10.33

122.194.229.31

122.93.235.10

132.148.150.15

148.66.4.66

154.0.181.4

170.178.163.57

212.174.243.242

43.249.207.181

50.232.75.165

61.177.172.26

C2:

hxxp://www.sufeinet.com/space-uid-97643.html

url:

hxxp://50.232.75.165/321.exe

hxxp://50.232.75.165/641.exe

hxxp://50.232.75.165/a3.exe

hxxp://50.232.75.165/a6.exe

hxxp://50.232.75.165/c3.exe

hxxp://50.232.75.165/c6.exe

hxxp://50.232.75.165/mysql.dll

hxxp://50.232.75.165/n3.exe

hxxp://50.232.75.165/n6.exe

hxxp://50.232.75.165/netxmr.exe

hxxp://50.232.75.165/netxmr2.exe

hxxp://50.232.75.165/netxmr3.exe

hxxp://50.232.75.165/netxmr4.exe

hxxp://50.232.75.165/o3.exe

hxxp://50.232.75.165/o6.exe

hxxp://50.232.75.165/p6.exe

hxxp://50.232.75.165/svchost.exe

hxxp://50.232.75.165/x3.exe

hxxp://50.232.75.165/x6.exe

hxxp://50.232.75.165:8080/invoker/readonly

hxxp://122.194.229.31:8010/server.exe

hxxp://122.194.229.31:8010/smss.exe

hxxp://154.0.181.4:8089/cacls.exe

hxxp://154.0.181.4:8089/net1.exe

hxxp://154.0.181.4:8089/O3.EXE

hxxp://154.0.181.4:8089/O6.EXE

hxxp://154.0.181.4:8089/netxmr4.exe

hxxp://154.0.181.4/o6.exe

hxxp://154.0.181.4:8089/net4.exe

hxxp://154.0.181.4:8089/x6.exe

hxxp://154.0.181.4/netxmr4.exe

hxxp://154.0.181.4/net4.exe

hxxp://154.0.181.4/o3.exe

hxxp://212.174.243.242:9090/admin/netxmr4.exe

hxxp://212.174.243.242:9090/admin//n6.exe

hxxp://212.174.243.242:9090/admin//c3.exe

hxxp://212.174.243.242:9090/admin//n3.exe

hxxp://212.174.243.242:9090/admin/o6.exe

hxxp://212.174.243.242:9090/admin//c6.exe

hxxp://212.174.243.242:9090/admin/o3.exe

hxxp://212.174.243.242:9090/admin//x6.exe

hxxp://212.174.243.242:9090/admin/n3.exe

hxxp://212.174.243.242:9090/admin/c3.exe

hxxp://212.174.243.242/admin/o3.exe

hxxp://212.174.243.242/admin/x6.exe

hxxp://212.174.243.242/admin/netxmr4.exe

md5:

9e00b347ae118d5d40b730b72962f72d

ae3e7304122469f2de3ecbd920a768d1

2eb962efcca0ac760bf4bc6db36a97db

beac6592dbd3a479a64789e43ec20f27

33e7bf91b27bdcb423a78459e10675c5

1fc976e1a1ab01d8454b8ba786faabb6

2774758444d3d4bb26b1f15f3f8ef5e4

541ad9d388d96deede351bfd887465ca

719262382839a8d0f16c96d7ba2bbdb2

700404b69ef9f4256d748bef5303b75c

be50ec6fc63e468a344f3131d6e8bb48

c38ec6ee136fc8a12af8609565deeb69

8e5d0b0ae5854bd688587ee12b17f388

29413875237ac38bbb8e3ac217054e5e

3707c876acf78c504bd0e454e5ef5176

fc5d87aec3caf79cbbb46fd44367fd9f

ff05ed529bbfc67b166f0d8acf5b465f

fd72a9ee568f129b096627af7457f56f

ffa94bf273bd0d3b521acc71989e9fbd

上一页[1] [2] [3] [4]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包