挖礦事件典型案例

利用組件漏洞挖礦

背景介紹
2018 年初，綠盟科技應(yīng)急響應(yīng)團隊持續(xù)接到來自金融、衛(wèi)生、教育等多個行業(yè)客戶的安全事件
反 饋，發(fā)現(xiàn)多臺不同版本 WebLogic 主機均被植入了相同的惡意程序，該程序會消耗大量的主機 CPU資源。 經(jīng)過對捕獲到的攻擊代碼進行分析，發(fā)現(xiàn)這是一次針對 WebLogic 的 wls-wsat 組件漏洞（CVE-2017- 10271）進行遠程代碼執(zhí)行的大范圍攻擊。2. 處置過程
被感染主機 tmp 目錄下均存在可執(zhí)行文件 watch-smartd 或 Carbon，通過分析上述文件均為不同 版本的虛擬幣挖礦程序 cpu
miner，因此運行后會大量消耗服務(wù)器 CPU 及內(nèi)存資源；該挖礦程序不存在 維持進程和復(fù)活功能，但在清除后又會不定期出現(xiàn)。收集信息得知挖礦程序的所屬用戶和運行用戶與 WebLogic 的運行用戶相同。查看發(fā)現(xiàn) watch- smartd 進程的父進程為 WebLogic。由此可以確定該事件與 WebLogic 漏洞有關(guān)。
通過對感染主機抓包捕獲攻擊代碼以及 WebLogic 日志分析，證實攻擊者是利用 WebLogic wls- wsat 組件遠程代碼執(zhí)行
漏洞（CVE-2017-10271）下載并運行挖礦程序。排查過程可參考下圖：
圖 7 入侵過程
首先攻擊者通過該漏洞執(zhí)行 curl 命令，下載名為 setup-watch 的 shell 腳本，其作用為下載并運行 最終的挖礦程序。該 shell 腳本中定義了挖礦程序的下載地址、下載方式、保存路徑、運行參數(shù)等。
通過對服務(wù)器上的樣本程序進行分析，綠盟安全人員發(fā)現(xiàn) watch-smartd 或 Carbon 為同一挖礦程序 程序的不同版本。攻擊者主要利用該程序挖取在黑市流通的 XMR（門羅幣），其對外連接的礦池域名為： minexmr.com、minergate.com。

處置方案
從主機層面可通過監(jiān)控主機系統(tǒng)資源或進程分析方式進行檢測，從網(wǎng)絡(luò)層面可對 C&C地址及礦池 相關(guān)域名 /IP 進行監(jiān)控，以發(fā)現(xiàn)其他受感染主機。
針對 Linux主機，首先查看 /tmp 目錄中是否存在屬主為 watch-smartd、Carbon、default。
通過進程及系統(tǒng)資源分析，確認(rèn)是否存在啟動用戶為
漏洞修復(fù)及驗證：

首先在網(wǎng)絡(luò)中通過端口探測方式，檢測對外開放了 可通過網(wǎng)絡(luò)邊界設(shè)備對相應(yīng)端口進行封禁。
WebLogic 運行賬戶的相關(guān)可疑文件，如： WebLogic 運行的相關(guān)可疑進程。
T3 協(xié)議的 WebLogic 主機，若非業(yè)務(wù)需要，
圖 8 檢測 T3 協(xié)議

安裝 Oracle 官方提供的 WebLogic 2017 年 10 月份補丁，漏洞通告及相關(guān)補丁參考鏈接：

若無法安裝上述補丁，還可根據(jù)主機實際環(huán)境，刪除或重命名 WebLogic 目錄中以下 war 包及 目錄。
重啟 WebLogic 后，通過 console 端口（T3 協(xié)議）訪問

專家分析 此次攻擊主要目的為下載并執(zhí)行挖礦程序。盡管該漏洞早已在
wls-wsat，驗證響應(yīng)狀態(tài)碼是否為 404。
Oracle 官方發(fā)布的 2017 年 10 月份
的補丁中修復(fù)，即安裝了最新補丁的主機將不受此次攻擊影響，但還是存在大量的主機被入侵。這表明 很多企業(yè)對于網(wǎng)絡(luò)安全建設(shè)的長期忽，對已知高風(fēng)險漏洞的不重，才會大量爆發(fā) WebLogic 挖礦事 件而付出慘痛代價。漏洞一旦存在，就隨時可能被不法分子利用，甚至?xí)?dǎo)致重大資產(chǎn)的損失和承擔(dān)法
律責(zé)任。
目前黑色產(chǎn)業(yè)鏈中利用已知 1Day 或 NDay 攻擊服務(wù)器，謀取利益的事件越來越多。企業(yè)應(yīng)該重 并全面提升自身系統(tǒng)的安全性，從而保障業(yè)務(wù)順暢運行，也保護用戶信息安全。
4.2.1.5 專家建議

企業(yè)需要重自身安全制度的建設(shè)，與專業(yè)安全廠商建立合作機制，共同抵御網(wǎng)絡(luò)攻擊，保證 企業(yè)自身業(yè)務(wù)的正常運行。

建設(shè)完善的企業(yè)安全管理規(guī)范，及時更新補丁，尤其在重大安全漏洞公布時，及時更新并確定 所有相關(guān)服務(wù)器更新成功。防微杜漸，防患于未然。

及其變種

背景介紹
2018 年，綠盟科技應(yīng)急響應(yīng)團隊持續(xù)接到 WannaMine 挖礦的事件反饋。該蠕蟲感染計算機后會向 計算機中植入挖礦病毒，導(dǎo)致電腦資源被大量占用，無法正常運行，危害巨大。但至今仍有大量主機未 安裝安全補丁，導(dǎo)致被后續(xù)的 Wanna 系列變種病毒感染。
2018 年 3 月，WannaCry 勒索病毒出現(xiàn)變種，WannaMine 挖礦病毒誕生。
2018 年 5 月，WannaMine 出現(xiàn)變種（WannaMine2.0）。
2018 年 11 月，WannaMine2.0 再次出現(xiàn)變種（WannaMine 3.0）。
在局域網(wǎng)內(nèi)，WannaMine 家族利用 SMB協(xié)議漏洞，快速橫向擴散。WannaMine 家族 2.0、3.0 變種， 加入了一些免殺技術(shù)，傳播機制與 WannaCry 勒索病毒一致。

處理過程
WannaMine 病毒使用“永恒之藍”漏洞入侵服務(wù)器，然后植入挖礦程序，并掃描同網(wǎng)段主機傳播漏洞。 特征圖如下：
圖 9 ：病毒特征
WannaMine 病毒攻擊傳播過程：

srv（tpmagentservice.dll）主服務(wù)，開機啟動，加載 spoolsv。

spoolsv（spoolsv.exe）對局域網(wǎng)進行 445 端口掃描，確定可攻擊的內(nèi)網(wǎng)主機。同時啟動挖礦 程序 hash（TrueServiceHost.exe）、漏洞攻擊程序 svchost.exe 和 spoolsv.exe（NSA 工具包）。

svchost.exe 執(zhí)行“永恒之藍”漏洞溢出攻擊（目的 IP 由第 2 步確認(rèn)），成功后 spoolsv. exe(NSA 黑客工具包 DoublePulsar 后門）安裝后門，加載后門 dll。

后門 dll（x86.dll、x64.dll）執(zhí)行后，負(fù)責(zé)將 MsraReportDataCache32.tlb 從本地復(fù)制到目的 IP主機， 再解壓該文件，注冊 srv 主服務(wù)，啟動 spoolsv 執(zhí)行攻擊。
WannaMine 病毒每攻陷一臺服務(wù)器，都將重復(fù)以上步驟。攻擊過程如下圖：
圖 10 ：攻擊過程
事件排查—網(wǎng)絡(luò)層：
通過出口防火墻或其他類似安全設(shè)備，對相關(guān)的后門域名、挖礦域名及 Kill Switch域名（www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com）請求進行監(jiān)測，以發(fā)現(xiàn)內(nèi)部其他感染主機。
部分域名信息如下：
表 8 部分域名信息
|序號|域名|域名解析地址|
事件排查—主機層：

檢查主機是否存在以下進程： TrustedHostServices.exe（WannaMine1.0-2.0 門羅幣挖礦程序） trustedhostex.exe（WannaMine3.0 門羅幣挖礦程序） Spoolsv.exe（有 445 端口掃描行為）

檢查主機是否存在以下服務(wù)：
Tpmagentservice（WannaMine1.0 服務(wù)） wmassrv（WannaMine2.0 服務(wù)）
snmpstorsrv（WannaMine3.0 服務(wù)）

檢查主機中是否存在以下目錄或文件 :
WannaMine1.0 目錄： ? C:\Windows\SecureBootThemes
WannaMine2.0 目錄：
WannaMine3.0 目錄：
\4. 相關(guān)文件包括：
C:\Windows\system32\tpmagentservice.dll（WannaMine1.0 相關(guān)） C:\Windows\system32\TrustedHostServices.exe（WannaMine1.0 相關(guān)） C:\Windows\System32\MsraReportDataCache32.tlb（WannaMine1.0 相關(guān)） C:\Windows\system32\wmassrv.dll（WannaMine2.0 相關(guān)） C:\Windows\system32\EnrollCertXaml.dll（WannaMine2.0 相關(guān)） C:\Windows\system32\HalPluginsServices.dll（WannaMine2.0 相關(guān)） C:\Windows\system32\snmpstorsrv.dll（WannaMine3.0 相關(guān)） C:\Windows\system32\trustedhostex.exe（WannaMine3.0 相關(guān)） C:\Windows\system32\marstracediagnostics.xml（WannaMine3.0 相關(guān)）

處置方案
從主機層面可通過監(jiān)控主機系統(tǒng)資源或進程分析方式進行檢測。
從網(wǎng)絡(luò)層面可對 C&C地址及礦池相關(guān)域名 /IP 進行監(jiān)控，以發(fā)現(xiàn)其他受感染主機。 漏洞修復(fù)及病毒清理：
手動清理

禁用并刪除相關(guān)后門服務(wù)，包括：tpmagentservice、wmassrv、snmpstorsrv；

刪除上述服務(wù)對應(yīng)執(zhí)行文件及其他相關(guān)的釋放文件；
清理腳本
針對 Wanna 系列病毒，可以使用綠盟科技 WannaMine 清理腳本進行清理。

專家分析
微軟官方在 2017 年 3 月 14 日公布了 MS17-010 的安全公告，但如今 Wanna 系列勒索、挖礦蠕蟲 病毒入侵事件仍然在各大行業(yè)時有發(fā)生。這說明企業(yè)對于已知漏洞攻擊還抱有僥幸心理或者安全意識不 足，認(rèn)為一段時間之后不會發(fā)生此類安全事件，放警惕；然而漏洞一旦存在，就隨時可能被不法分子 利用，甚至?xí)霈F(xiàn)變種病毒或者其他新的利用方式。
目前利用已知 1Day 或 NDay攻擊服務(wù)器、謀取非法利益的事件越來越多，主要利用方式有數(shù)據(jù)竊取， 勒索，挖礦，發(fā)起 DDoS攻擊等。企業(yè)應(yīng)該重視并全面提升自身系統(tǒng)的安全性，從而保障業(yè)務(wù)順暢運行， 也保護用戶信息安全。

專家建議

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)該進行安全域的劃分；辦公網(wǎng)、生產(chǎn)網(wǎng)，區(qū)域網(wǎng)之間應(yīng)進行嚴(yán)格的區(qū)分隔離。

服務(wù)器應(yīng)啟用防火墻，關(guān)閉不必要的端口。

建設(shè)完善的終端安全管理規(guī)范，及時更新系統(tǒng)補丁，尤其在重大安全漏洞公布時，及時更新并 確定所有主機更新成功。防微杜漸，防患于未然。

參考資料

綠盟 綠盟科技安全事件響應(yīng)觀察報告

友情鏈接

河南省國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要 2021

總結(jié)

以上是生活随笔為你收集整理的安全事件响应观察报告及其变种的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。