利用组件漏洞挖矿

挖矿事件典型案例

利用组件漏洞挖矿

1. 背景介绍
   2018 年初，绿盟科技应急响应团队持续接到来自金融、卫生、教育等多个行业客户的安全事件
   反 馈，发现多台不同版本 WebLogic 主机均被植入了相同的恶意程序，该程序会消耗大量的主机 CPU资源。 经过对捕获到的攻击代码进行分析，发现这是一次针对 WebLogic 的 wls-wsat 组件漏洞（CVE-2017- 10271）进行远程代码执行的大范围攻击。2. 处置过程
   被感染主机 tmp 目录下均存在可执行文件 watch-smartd 或 Carbon，通过分析上述文件均为不同 版本的虚拟币挖矿程序 cpu
   miner，因此运行后会大量消耗服务器 CPU 及内存资源；该挖矿程序不存在 维持进程和复活功能，但在清除后又会不定期出现。收集信息得知挖矿程序的所属用户和运行用户与 WebLogic 的运行用户相同。查看发现 watch- smartd 进程的父进程为 WebLogic。由此可以确定该事件与 WebLogic 漏洞有关。
   通过对感染主机抓包捕获攻击代码以及 WebLogic 日志分析，证实攻击者是利用 WebLogic wls

• wsat 组件远程代码执行漏洞（CVE-2017-10271）下载并运行挖矿程序。排查过程可参考下图：
  图 7 入侵过程
  首先攻击者通过该漏洞执行 curl 命令，下载名为 setup-watch 的 shell 脚本，其作用为下载并运行 最终的挖矿程序。该 shell 脚本中定义了挖矿程序的下载地址、下载方式、保存路径、运行参数等。
  通过对服务器上的样本程序进行分析，绿盟安全人员发现 watch-smartd 或 Carbon 为同一挖矿程序 程序的不同版本。攻击者主要利用该程序挖取在黑市流通的 XMR（门罗币），其对外连接的矿池域名为： minexmr.com、minergate.com。

3. 处置方案
   从主机层面可通过监控主机系统资源或进程分析方式进行检测，从网络层面可对 C&C地址及矿池 相关域名 /IP 进行监控，以发现其他受感染主机。
   针对 Linux主机，首先查看 /tmp 目录中是否存在属主为 watch-smartd、Carbon、default。
   通过进程及系统资源分析，确认是否存在启动用户为
   漏洞修复及验证：
4. 首先在网络中通过端口探测方式，检测对外开放了 可通过网络边界设备对相应端口进行封禁。
   �WebLogic 运行账户的相关可疑文件，如： WebLogic 运行的相关可疑进程。
   T3 协议的 WebLogic 主机，若非业务需要，
   图 8 检测 T3 协议
5. 安装 Oracle 官方提供的 WebLogic 2017 年 10 月份补丁，漏洞通告及相关补丁参考链接：
6. 若无法安装上述补丁，还可根据主机实际环境，删除或重命名 WebLogic 目录中以下 war 包及 目录。
   重启 WebLogic 后，通过 console 端口（T3 协议）访问
7. 专家分析 此次攻击主要目的为下载并执行挖矿程序。尽管该漏洞早已在
   �wls-wsat，验证响应状态码是否为 404。
   Oracle 官方发布的 2017 年 10 月份
   的补丁中修复，即安装了最新补丁的主机将不受此次攻击影响，但还是存在大量的主机被入侵。这表明 很多企业对于网络安全建设的长期忽，对已知高风险漏洞的不重，才会大量爆发 WebLogic 挖矿事 件而付出惨痛代价。漏洞一旦存在，就随时可能被不法分子利用，甚至会导致重大资产的损失和承担法
   律责任。
   目前黑色产业链中利用已知 1Day 或 NDay 攻击服务器，谋取利益的事件越来越多。企业应该重 并全面提升自身系统的安全性，从而保障业务顺畅运行，也保护用户信息安全。
   4.2.1.5 专家建议
8. 企业需要重自身安全制度的建设，与专业安全厂商建立合作机制，共同抵御网络攻击，保证 企业自身业务的正常运行。
9. 建设完善的企业安全管理规范，及时更新补丁，尤其在重大安全漏洞公布时，及时更新并确定 所有相关服务器更新成功。防微杜渐，防患于未然。

及其变种

1. 背景介绍
   2018 年，绿盟科技应急响应团队持续接到 WannaMine 挖矿的事件反馈。该蠕虫感染计算机后会向 计算机中植入挖矿病毒，导致电脑资源被大量占用，无法正常运行，危害巨大。但至今仍有大量主机未 安装安全补丁，导致被后续的 Wanna 系列变种病毒感染。
   2018 年 3 月，WannaCry 勒索病毒出现变种，WannaMine 挖矿病毒诞生。
   2018 年 5 月，WannaMine 出现变种（WannaMine2.0）。
   2018 年 11 月，WannaMine2.0 再次出现变种（WannaMine 3.0）。
   在局域网内，WannaMine 家族利用 SMB协议漏洞，快速横向扩散。WannaMine 家族 2.0、3.0 变种， 加入了一些免杀技术，传播机制与 WannaCry 勒索病毒一致。
2. 处理过程
   WannaMine 病毒使用“永恒之蓝”漏洞入侵服务器，然后植入挖矿程序，并扫描同网段主机传播漏洞。 特征图如下：
   图 9 ：病毒特征
   WannaMine 病毒攻击传播过程：
3. srv（tpmagentservice.dll）主服务，开机启动，加载 spoolsv。
4. spoolsv（spoolsv.exe）对局域网进行 445 端口扫描，确定可攻击的内网主机。同时启动挖矿 程序 hash（TrueServiceHost.exe）、漏洞攻击程序 svchost.exe 和 spoolsv.exe（NSA 工具包）。
5. svchost.exe 执行“永恒之蓝”漏洞溢出攻击（目的 IP 由第 2 步确认），成功后 spoolsv. exe(NSA 黑客工具包 DoublePulsar 后门）安装后门，加载后门 dll。
6. 后门 dll（x86.dll、x64.dll）执行后，负责将 MsraReportDataCache32.tlb 从本地复制到目的 IP主机， 再解压该文件，注册 srv 主服务，启动 spoolsv 执行攻击。
   WannaMine 病毒每攻陷一台服务器，都将重复以上步骤。攻击过程如下图：
   图 10 ：攻击过程
   事件排查—网络层：
   通过出口防火墙或其他类似安全设备，对相关的后门域名、挖矿域名及 Kill Switch域名（www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com）请求进行监测，以发现内部其他感染主机。
   部分域名信息如下：
   表 8 部分域名信息
   |序号|域名|域名解析地址|
   事件排查—主机层：
7. 检查主机是否存在以下进程： TrustedHostServices.exe（WannaMine1.0-2.0 门罗币挖矿程序） trustedhostex.exe（WannaMine3.0 门罗币挖矿程序） Spoolsv.exe（有 445 端口扫描行为）
8. 检查主机是否存在以下服务：
   Tpmagentservice（WannaMine1.0 服务） wmassrv（WannaMine2.0 服务）
   snmpstorsrv（WannaMine3.0 服务）
9. 检查主机中是否存在以下目录或文件 :
   WannaMine1.0 目录： • C:\Windows\SecureBootThemes
   WannaMine2.0 目录：
   WannaMine3.0 目录：
   \4. 相关文件包括：
   C:\Windows\system32\tpmagentservice.dll（WannaMine1.0 相关） C:\Windows\system32\TrustedHostServices.exe（WannaMine1.0 相关） C:\Windows\System32\MsraReportDataCache32.tlb（WannaMine1.0 相关） C:\Windows\system32\wmassrv.dll（WannaMine2.0 相关） C:\Windows\system32\EnrollCertXaml.dll（WannaMine2.0 相关） C:\Windows\system32\HalPluginsServices.dll（WannaMine2.0 相关） C:\Windows\system32\snmpstorsrv.dll（WannaMine3.0 相关） C:\Windows\system32\trustedhostex.exe（WannaMine3.0 相关） C:\Windows\system32\marstracediagnostics.xml（WannaMine3.0 相关）
10. 处置方案
    从主机层面可通过监控主机系统资源或进程分析方式进行检测。
    从网络层面可对 C&C地址及矿池相关域名 /IP 进行监控，以发现其他受感染主机。 漏洞修复及病毒清理：
    手动清理
11. 禁用并删除相关后门服务，包括：tpmagentservice、wmassrv、snmpstorsrv；
12. 删除上述服务对应执行文件及其他相关的释放文件；
    清理脚本
    针对 Wanna 系列病毒，可以使用绿盟科技 WannaMine 清理脚本进行清理。
13. 专家分析
    微软官方在 2017 年 3 月 14 日公布了 MS17-010 的安全公告，但如今 Wanna 系列勒索、挖矿蠕虫 病毒入侵事件仍然在各大行业时有发生。这说明企业对于已知漏洞攻击还抱有侥幸心理或者安全意识不 足，认为一段时间之后不会发生此类安全事件，放警惕；然而漏洞一旦存在，就随时可能被不法分子 利用，甚至会出现变种病毒或者其他新的利用方式。
    目前利用已知 1Day 或 NDay攻击服务器、谋取非法利益的事件越来越多，主要利用方式有数据窃取， 勒索，挖矿，发起 DDoS攻击等。企业应该重视并全面提升自身系统的安全性，从而保障业务顺畅运行， 也保护用户信息安全。
14. 专家建议
15. 企业网络建设中应该进行安全域的划分；办公网、生产网，区域网之间应进行严格的区分隔离。
16. 服务器应启用防火墙，关闭不必要的端口。
17. 建设完善的终端安全管理规范，及时更新系统补丁，尤其在重大安全漏洞公布时，及时更新并 确定所有主机更新成功。防微杜渐，防患于未然。

参考资料

绿盟 绿盟科技安全事件响应观察报告

友情链接

GB-T 37044-2018 信息安全技术 物联网安全参考模型及通用要求