挖礦事件典型案例

利用組件漏洞挖礦

背景介紹
2018 年初，綠盟科技應(yīng)急響應(yīng)團(tuán)隊(duì)持續(xù)接到來自金融、衛(wèi)生、教育等多個(gè)行業(yè)客戶的安全事件
反 饋，發(fā)現(xiàn)多臺(tái)不同版本 WebLogic 主機(jī)均被植入了相同的惡意程序，該程序會(huì)消耗大量的主機(jī) CPU資源。 經(jīng)過對(duì)捕獲到的攻擊代碼進(jìn)行分析，發(fā)現(xiàn)這是一次針對(duì) WebLogic 的 wls-wsat 組件漏洞（CVE-2017- 10271）進(jìn)行遠(yuǎn)程代碼執(zhí)行的大范圍攻擊。2. 處置過程
被感染主機(jī) tmp 目錄下均存在可執(zhí)行文件 watch-smartd 或 Carbon，通過分析上述文件均為不同 版本的虛擬幣挖礦程序 cpu
miner，因此運(yùn)行后會(huì)大量消耗服務(wù)器 CPU 及內(nèi)存資源；該挖礦程序不存在 維持進(jìn)程和復(fù)活功能，但在清除后又會(huì)不定期出現(xiàn)。收集信息得知挖礦程序的所屬用戶和運(yùn)行用戶與 WebLogic 的運(yùn)行用戶相同。查看發(fā)現(xiàn) watch- smartd 進(jìn)程的父進(jìn)程為 WebLogic。由此可以確定該事件與 WebLogic 漏洞有關(guān)。
通過對(duì)感染主機(jī)抓包捕獲攻擊代碼以及 WebLogic 日志分析，證實(shí)攻擊者是利用 WebLogic wls- wsat 組件遠(yuǎn)程代碼執(zhí)行
漏洞（CVE-2017-10271）下載并運(yùn)行挖礦程序。排查過程可參考下圖：
圖 7 入侵過程
首先攻擊者通過該漏洞執(zhí)行 curl 命令，下載名為 setup-watch 的 shell 腳本，其作用為下載并運(yùn)行 最終的挖礦程序。該 shell 腳本中定義了挖礦程序的下載地址、下載方式、保存路徑、運(yùn)行參數(shù)等。
通過對(duì)服務(wù)器上的樣本程序進(jìn)行分析，綠盟安全人員發(fā)現(xiàn) watch-smartd 或 Carbon 為同一挖礦程序 程序的不同版本。攻擊者主要利用該程序挖取在黑市流通的 XMR（門羅幣），其對(duì)外連接的礦池域名為： minexmr.com、minergate.com。

處置方案
從主機(jī)層面可通過監(jiān)控主機(jī)系統(tǒng)資源或進(jìn)程分析方式進(jìn)行檢測(cè)，從網(wǎng)絡(luò)層面可對(duì) C&C地址及礦池 相關(guān)域名 /IP 進(jìn)行監(jiān)控，以發(fā)現(xiàn)其他受感染主機(jī)。
針對(duì) Linux主機(jī)，首先查看 /tmp 目錄中是否存在屬主為 watch-smartd、Carbon、default。
通過進(jìn)程及系統(tǒng)資源分析，確認(rèn)是否存在啟動(dòng)用戶為
漏洞修復(fù)及驗(yàn)證：

首先在網(wǎng)絡(luò)中通過端口探測(cè)方式，檢測(cè)對(duì)外開放了 可通過網(wǎng)絡(luò)邊界設(shè)備對(duì)相應(yīng)端口進(jìn)行封禁。
WebLogic 運(yùn)行賬戶的相關(guān)可疑文件，如： WebLogic 運(yùn)行的相關(guān)可疑進(jìn)程。
T3 協(xié)議的 WebLogic 主機(jī)，若非業(yè)務(wù)需要，
圖 8 檢測(cè) T3 協(xié)議

安裝 Oracle 官方提供的 WebLogic 2017 年 10 月份補(bǔ)丁，漏洞通告及相關(guān)補(bǔ)丁參考鏈接：

若無法安裝上述補(bǔ)丁，還可根據(jù)主機(jī)實(shí)際環(huán)境，刪除或重命名 WebLogic 目錄中以下 war 包及 目錄。
重啟 WebLogic 后，通過 console 端口（T3 協(xié)議）訪問

專家分析 此次攻擊主要目的為下載并執(zhí)行挖礦程序。盡管該漏洞早已在
wls-wsat，驗(yàn)證響應(yīng)狀態(tài)碼是否為 404。
Oracle 官方發(fā)布的 2017 年 10 月份
的補(bǔ)丁中修復(fù)，即安裝了最新補(bǔ)丁的主機(jī)將不受此次攻擊影響，但還是存在大量的主機(jī)被入侵。這表明 很多企業(yè)對(duì)于網(wǎng)絡(luò)安全建設(shè)的長(zhǎng)期忽，對(duì)已知高風(fēng)險(xiǎn)漏洞的不重，才會(huì)大量爆發(fā) WebLogic 挖礦事 件而付出慘痛代價(jià)。漏洞一旦存在，就隨時(shí)可能被不法分子利用，甚至?xí)?dǎo)致重大資產(chǎn)的損失和承擔(dān)法
律責(zé)任。
目前黑色產(chǎn)業(yè)鏈中利用已知 1Day 或 NDay 攻擊服務(wù)器，謀取利益的事件越來越多。企業(yè)應(yīng)該重 并全面提升自身系統(tǒng)的安全性，從而保障業(yè)務(wù)順暢運(yùn)行，也保護(hù)用戶信息安全。
4.2.1.5 專家建議

企業(yè)需要重自身安全制度的建設(shè)，與專業(yè)安全廠商建立合作機(jī)制，共同抵御網(wǎng)絡(luò)攻擊，保證 企業(yè)自身業(yè)務(wù)的正常運(yùn)行。

建設(shè)完善的企業(yè)安全管理規(guī)范，及時(shí)更新補(bǔ)丁，尤其在重大安全漏洞公布時(shí)，及時(shí)更新并確定 所有相關(guān)服務(wù)器更新成功。防微杜漸，防患于未然。

及其變種

背景介紹
2018 年，綠盟科技應(yīng)急響應(yīng)團(tuán)隊(duì)持續(xù)接到 WannaMine 挖礦的事件反饋。該蠕蟲感染計(jì)算機(jī)后會(huì)向 計(jì)算機(jī)中植入挖礦病毒，導(dǎo)致電腦資源被大量占用，無法正常運(yùn)行，危害巨大。但至今仍有大量主機(jī)未 安裝安全補(bǔ)丁，導(dǎo)致被后續(xù)的 Wanna 系列變種病毒感染。
2018 年 3 月，WannaCry 勒索病毒出現(xiàn)變種，WannaMine 挖礦病毒誕生。
2018 年 5 月，WannaMine 出現(xiàn)變種（WannaMine2.0）。
2018 年 11 月，WannaMine2.0 再次出現(xiàn)變種（WannaMine 3.0）。
在局域網(wǎng)內(nèi)，WannaMine 家族利用 SMB協(xié)議漏洞，快速橫向擴(kuò)散。WannaMine 家族 2.0、3.0 變種， 加入了一些免殺技術(shù)，傳播機(jī)制與 WannaCry 勒索病毒一致。

處理過程
WannaMine 病毒使用“永恒之藍(lán)”漏洞入侵服務(wù)器，然后植入挖礦程序，并掃描同網(wǎng)段主機(jī)傳播漏洞。 特征圖如下：
圖 9 ：病毒特征
WannaMine 病毒攻擊傳播過程：

srv（tpmagentservice.dll）主服務(wù)，開機(jī)啟動(dòng)，加載 spoolsv。

spoolsv（spoolsv.exe）對(duì)局域網(wǎng)進(jìn)行 445 端口掃描，確定可攻擊的內(nèi)網(wǎng)主機(jī)。同時(shí)啟動(dòng)挖礦 程序 hash（TrueServiceHost.exe）、漏洞攻擊程序 svchost.exe 和 spoolsv.exe（NSA 工具包）。

svchost.exe 執(zhí)行“永恒之藍(lán)”漏洞溢出攻擊（目的 IP 由第 2 步確認(rèn)），成功后 spoolsv. exe(NSA 黑客工具包 DoublePulsar 后門）安裝后門，加載后門 dll。

后門 dll（x86.dll、x64.dll）執(zhí)行后，負(fù)責(zé)將 MsraReportDataCache32.tlb 從本地復(fù)制到目的 IP主機(jī)， 再解壓該文件，注冊(cè) srv 主服務(wù)，啟動(dòng) spoolsv 執(zhí)行攻擊。
WannaMine 病毒每攻陷一臺(tái)服務(wù)器，都將重復(fù)以上步驟。攻擊過程如下圖：
圖 10 ：攻擊過程
事件排查—網(wǎng)絡(luò)層：
通過出口防火墻或其他類似安全設(shè)備，對(duì)相關(guān)的后門域名、挖礦域名及 Kill Switch域名（www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com）請(qǐng)求進(jìn)行監(jiān)測(cè)，以發(fā)現(xiàn)內(nèi)部其他感染主機(jī)。
部分域名信息如下：
表 8 部分域名信息
|序號(hào)|域名|域名解析地址|
事件排查—主機(jī)層：

檢查主機(jī)是否存在以下進(jìn)程： TrustedHostServices.exe（WannaMine1.0-2.0 門羅幣挖礦程序） trustedhostex.exe（WannaMine3.0 門羅幣挖礦程序） Spoolsv.exe（有 445 端口掃描行為）

檢查主機(jī)是否存在以下服務(wù)：
Tpmagentservice（WannaMine1.0 服務(wù)） wmassrv（WannaMine2.0 服務(wù)）
snmpstorsrv（WannaMine3.0 服務(wù)）

檢查主機(jī)中是否存在以下目錄或文件 :
WannaMine1.0 目錄： ? C:\Windows\SecureBootThemes
WannaMine2.0 目錄：
WannaMine3.0 目錄：
\4. 相關(guān)文件包括：
C:\Windows\system32\tpmagentservice.dll（WannaMine1.0 相關(guān)） C:\Windows\system32\TrustedHostServices.exe（WannaMine1.0 相關(guān)） C:\Windows\System32\MsraReportDataCache32.tlb（WannaMine1.0 相關(guān)） C:\Windows\system32\wmassrv.dll（WannaMine2.0 相關(guān)） C:\Windows\system32\EnrollCertXaml.dll（WannaMine2.0 相關(guān)） C:\Windows\system32\HalPluginsServices.dll（WannaMine2.0 相關(guān)） C:\Windows\system32\snmpstorsrv.dll（WannaMine3.0 相關(guān)） C:\Windows\system32\trustedhostex.exe（WannaMine3.0 相關(guān)） C:\Windows\system32\marstracediagnostics.xml（WannaMine3.0 相關(guān)）

處置方案
從主機(jī)層面可通過監(jiān)控主機(jī)系統(tǒng)資源或進(jìn)程分析方式進(jìn)行檢測(cè)。
從網(wǎng)絡(luò)層面可對(duì) C&C地址及礦池相關(guān)域名 /IP 進(jìn)行監(jiān)控，以發(fā)現(xiàn)其他受感染主機(jī)。 漏洞修復(fù)及病毒清理：
手動(dòng)清理

禁用并刪除相關(guān)后門服務(wù)，包括：tpmagentservice、wmassrv、snmpstorsrv；

刪除上述服務(wù)對(duì)應(yīng)執(zhí)行文件及其他相關(guān)的釋放文件；
清理腳本
針對(duì) Wanna 系列病毒，可以使用綠盟科技 WannaMine 清理腳本進(jìn)行清理。

專家分析
微軟官方在 2017 年 3 月 14 日公布了 MS17-010 的安全公告，但如今 Wanna 系列勒索、挖礦蠕蟲 病毒入侵事件仍然在各大行業(yè)時(shí)有發(fā)生。這說明企業(yè)對(duì)于已知漏洞攻擊還抱有僥幸心理或者安全意識(shí)不 足，認(rèn)為一段時(shí)間之后不會(huì)發(fā)生此類安全事件，放警惕；然而漏洞一旦存在，就隨時(shí)可能被不法分子 利用，甚至?xí)霈F(xiàn)變種病毒或者其他新的利用方式。
目前利用已知 1Day 或 NDay攻擊服務(wù)器、謀取非法利益的事件越來越多，主要利用方式有數(shù)據(jù)竊取， 勒索，挖礦，發(fā)起 DDoS攻擊等。企業(yè)應(yīng)該重視并全面提升自身系統(tǒng)的安全性，從而保障業(yè)務(wù)順暢運(yùn)行， 也保護(hù)用戶信息安全。

專家建議

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)該進(jìn)行安全域的劃分；辦公網(wǎng)、生產(chǎn)網(wǎng)，區(qū)域網(wǎng)之間應(yīng)進(jìn)行嚴(yán)格的區(qū)分隔離。

服務(wù)器應(yīng)啟用防火墻，關(guān)閉不必要的端口。

建設(shè)完善的終端安全管理規(guī)范，及時(shí)更新系統(tǒng)補(bǔ)丁，尤其在重大安全漏洞公布時(shí)，及時(shí)更新并 確定所有主機(jī)更新成功。防微杜漸，防患于未然。

參考資料

綠盟 綠盟科技安全事件響應(yīng)觀察報(bào)告

友情鏈接

河南省國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要 2021

總結(jié)

以上是生活随笔為你收集整理的安全事件响应观察报告及其变种的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。