跨平臺挖礦木馬MrbMiner已控制上千臺伺服器​

2021-02-15 騰訊安全威脅情報中心


長按二維碼關注

騰訊安全威脅情報中心

騰訊安全威脅情報中心檢測到新型挖礦木馬家族MrbMiner,黑客通過SQL Server伺服器弱口令爆破入侵,爆破成功後在目標系統釋放C#語言編寫的木馬assm.exe,進一步通過該木馬與C2伺服器通信,然後下載門羅幣挖礦木馬並維持挖礦進程。

挖礦木馬文件通過ZIP解壓縮得到,並且會偽裝成各類Windows系統服務。由於該挖礦木馬的C2地址、礦池帳號和文件信息均包含特徵字符「MRB」,騰訊安全威脅情報中心將其命名為「MrbMiner」挖礦木馬。

MrbMiner挖礦木馬入侵後會釋放另外兩個下載器installerservice.exe、PowerShellInstaller.exe,下載器會將挖礦木馬安裝為系統服務以實現持久化運行,同時會搜集中招系統信息(包括CPU型號、CPU數量、.NET版本信息),關閉Windows升級服務以及在Windows系統中添加後門帳號以方便繼續入侵控制。

MrbMiner挖礦木馬會小心隱藏自身,避免被管理員發現。木馬會監測任務管理器進程,當用戶啟動「任務管理器」進程查看系統時,挖礦進程會立刻退出,並刪除相關文件。

騰訊安全專家在MrbMiner挖礦木馬的FTP伺服器上還發現了基於Linux系統和ARM系統的挖礦木馬文件,推測MrbMiner已具備跨平臺攻擊能力。根據目前掌握的威脅情報數據,MrbMiner挖礦木馬已控制上千臺伺服器組網挖礦。

騰訊安全系列產品已支持檢測、清除MrbMiner挖礦木馬,詳細響應清單如下:

應用

場景

安全產品

解決方案

騰訊T-Sec

威脅情報雲查服務

(SaaS)

1)MrbMiner挖礦木馬相關IOCs已入庫。

各類安全產品可通過「威脅情報雲查服務」提供的接口提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高級威脅追溯系統

1)MrbMiner挖礦木馬相關信息和情報已支持檢索。

網管可通過威脅追溯系統,分析日誌,進行線索研判、追溯網絡入侵源頭。T-Sec高級威脅追溯系統的更多信息,可參考:https://cloud.tencent.com/product/atts

雲原生安全

防護

雲防火牆

(Cloud Firewall,CFW)

基於網絡流量進行威脅檢測與主動攔截,已支持:

1)MrbMiner挖礦木馬關聯的IOCs已支持識別檢測;

2)SQL Server弱口令爆破登陸預警。

 

有關雲防火牆的更多信息,可參考:
 https://cloud.tencent.com/product/cfw

騰訊T-Sec  主機安全

(Cloud Workload Protection,CWP)

1)已支持查殺MrbMiner相關木馬程序;

2)SQL Server弱口令爆破登陸預警。

 

騰訊主機安全(雲鏡)提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多信息,可參考:https://cloud.tencent.com/product/cwp

騰訊T-Sec 安全運營中心

基於客戶雲端安全數據和騰訊安全大數據的雲安全運營平臺。已接入騰訊主機安全(雲鏡)、騰訊御知等產品數據導入,為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。

關於騰訊T-Sec安全運營中心的更多信息,可參考:https://s.tencent.com/product/soc/index.html

非雲企業安全防護

騰訊T-Sec

高級威脅檢測系統

(騰訊御界)

1)已支持通過協議檢測MrbMiner挖礦木馬與伺服器的網絡通信。

 

關於T-Sec高級威脅檢測系統的更多信息,可參考:

https://cloud.tencent.com/product/nta

騰訊T-Sec終端安全管理系統(御點)

1)可查殺MrbMiner入侵釋放的木馬程序。

 

騰訊御點提供企業終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力,關於T-Sec終端安全管理系統的更多資料,可參考:https://s.tencent.com/product/yd/index.html

黑客通過批量掃描和爆破SQL Server服務,執行shellcode下載assm.exe到伺服器一下位置,並啟動assm.exe:

c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exec:/windows/temp/sqlmanagement/assm.exe

assm.exe採用C#編寫,執行後首先殺死已有挖礦進程,並刪除文件。
 
然後向伺服器vihansoft.ir:3341發送上線信息「    StartProgram    ok」
 
從伺服器mrbfile[.]xyz下載門羅幣挖礦木馬壓縮包文件sqlServer.dll。
對下載得到的文件進行Zip解壓縮。
挖礦木馬文件名偽裝成與Windows正常服務相似的文件名:
Microsoft Media Service.exe
Microsoft Agent System.exe
WindowsSecurityService.exe
WindowsAgentService.exe
WindowsHostService.exe
Windows Desktop Service.exe
Windows Host Management.exe
Windows Update Service.exe
SecurityService.exe
InstallWindowsHost.exe
SystemManagement.exe

文件描述也使用類似的偽裝手法:
Services
Service-Mrb
WindowsSecurityService
MrbMngService
SetAllconfig()設置挖礦配置文件,首先向伺服器發送消息「getConfig」獲取配置文件,然後將得到的配置文件中的「rig-id」由「MRB_ADMIN」替換為「MrbAdmin-ProcessorCount」,ProcessorCount為當前機器CPU數量。
同時根據環境下不同的CPU數量設置不同的挖礦埠,默認埠為3333:
CPU:1,port:3331
CPU:2,port:3332
CPU:4,port:3334
CPU:8,port:3338
默認挖礦配置參數:
一旦檢測到挖礦進程退出,則重新啟動。
一旦檢測到「taskmgr」進程存在,則退出挖礦進程,並刪除相關文件。(非常狡猾的設計,如果用戶發現系統異常,準備打開任務管理器檢查時,挖礦進程就結束,並刪除文件)
私有礦池:mrbpool.xyz:443
公有礦池:pool.supportxmr.com:3333
門羅幣錢包:
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk

目前該錢包的收益為7個XMR,其私有礦池收益無法查詢,而挖礦木馬收益主要來源於私有礦池,因此該挖礦木馬的實際收益會遠遠超過當前數額。
分析發現,黑客入侵後釋放的另外兩個下載器installerservice.exe、PowerShellInstaller.exe,下載門羅幣挖礦木馬之後,還會將其安裝服務進行持久化,服務名為"Microsoft Agent Service"、"Windows Host Service"。
添加Windows帳號」Default」,密碼:"@fg125kjnhn987",以便後續入侵系統。

執行Powershell命令,關閉系統升級服務:

獲取系統內存信息:

獲取IP位址:
獲取CPU名稱:
獲取CPU數量:
獲取.NET Framework版本信息:
此外,騰訊安全專家在攻擊者的FTP伺服器ftp[:]//145.239.225.15上,還發現了基於Linux平臺和ARM平臺的挖礦木馬:
Linux和ARM平臺挖礦使用礦池:pool.supportxmr.com:80
錢包:
498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

該錢包目前收益3.38個XMR。
IOCs
IP
145.239.225.15
145.239.225.18

Domain
mrbfile.xyz
vihansoft.ir

C&C
vihansoft.ir:3341

URL
http[:]//mrbfile.xyz/Hostz.zip
http[:]//mrbfile.xyz/PowerShellInstaller.exe
http[:]//mrbfile.xyz/sql/SqlServer.dll
http[:]//mrbfile.xyz/Agentz.zip
http[:]//mrbfile.xyz/Agenty.zip
http[:]//mrbfile.xyz/sql/syslib.dll
http[:]//mrbfile.xyz/sys.dll
http[:]//mrbfile.xyz/35/sys.dll
http[:]//mrbfile.xyz/Hosty.zip
http[:]//vihansoft.ir/sys.dll
https[:]//vihansoft.ir/Sys.dll
http[:]//vihansoft.ir/Agentx.zip
https[:]//vihansoft.ir/d.zip
http[:]//vihansoft.ir/k.exe
http[:]//vihansoft.ir/d.zip
https[:]//vihansoft.ir/Hostx.zip
http[:]//vihansoft.ir/p.zip
https[:]//vihansoft.ir/k.exe
https[:]//vihansoft.ir/Agentx.zip
https[:]//vihansoft.ir/vhost.tar.gz
https[:]//vihansoft.ir/P.zip
https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true
https[:]//vihanSoft.ir/Agent.zip
https[:]//vihanSoft.ir/host.zip
ftp[:]//145.239.225.15/armv.tar.gz
ftp[:]//145.239.225.15/linux-os.tar.gz
ftp[:]//145.239.225.15/linuxservice.tar.gz
ftp[:]//145.239.225.15/osx.tar.gz
ftp[:]//145.239.225.15/vhost.tar.gz
ftp[:]//145.239.225.15/xmr.tar.gz
ftp[:]//145.239.225.15/arm.tar.gz

Md5
c79d08c7a122f208edefdc3bea807d64
6bcc710ba30f233000dcf6e0df2b4e91
ac72e18ad3d55592340d7b6c90732a2e
6c929565185c42e2e635a09e7e18fcc8
04612ddd71bb11069dd804048ef63ebf
68206d23f963e61814e9a0bd18a6ceaa
a5adecd40a98d67027af348b1eee4c45
c417197bcd1de05c8f6fcdbfeb6028eb
76c266d1b1406e8a5e45cfe279d5da6a
605b858b0b16d4952b2a24af3f9e8c8e
c3b16228717983e1548570848d51a23b
c10b1c31cf7f1fcf1aa7c79a5529381c
391694fe38d9fb229e158d2731c8ad7c
5d457156ea13de71c4eca7c46207890d
f1cd388489270031e659c89233f78ce9
54b14b1aa92f8c7e33a1fa75dc9ba63d
f9e91a21d4f400957a8ae7776954bd17
61a17390c68ec9e745339c1287206fdb
f13540e6e874b759cc3b51b531149003
2915f1f58ea658172472b011667053df
3cb03c04a402a57ef7bb61c899577ba4
f2d0b646b96cba582d53b788a32f6db2
5eaa3c2b187a4fa71718be57b0e704c9
8cf543527e0af3b0ec11f4a5b5970810
36254048a516eda1a13fab81b6123119
0a8aac558c77f9f49b64818d7ab12000
59beb43a9319cbc2b3f3c59303989111
ce8fdec586e258ef340428025e4e44fa
e4284f80b9066adc55079e8e564f448c
2f402cde33437d335f312a98b366c3c8
25a579dcc0cd6a70a56c7a4a0b8a1198
2d1159d7dc145192e55cd05a13408e9b
2dd8a0213893a26f69e6ae56d2b58d9d
0d8838116a25b6987bf83214c1058aad
0c883e5bbbbb01c4b32121cfa876d9d6
2d26ecc1fdcdad62e608a9de2542a1a6
27c91887f44bd92fb5538bc249d0e024
96b0f85c37c1523f054c269131755808
028f24eb796b1bb20b85c7c708efa497

門羅幣錢包:
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk

498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

相關焦點

  • WatchBogMiner木馬利用漏洞攻擊傳播,已控制上萬臺Linux伺服器挖礦
    該木馬利用Nexus Repository Manager、Supervisord、ThinkPHP等伺服器組件的遠程代碼執行漏洞進行攻擊,在失陷機器安裝多種類型的持久化攻擊代碼,然後植入門羅幣挖礦木馬進行挖礦。騰訊安全專家根據木馬使用的算力資源推測已有上萬臺Linux伺服器被黑客控制,已挖到28個門羅幣,收益約1.3萬元。
  • 挖礦木馬針對SQL伺服器的爆破攻擊,中招可致伺服器被遠程控制
    長按二維碼關注御見威脅情報中心背景騰訊御見威脅情報中心檢測到一例挖礦木馬攻擊
  • 騰訊主機安全截獲TOPMiner挖礦木馬,受害伺服器約1.5萬臺,作者稱「12小時掃描全球」
    根據其挖礦錢包收益估算,約有1.5萬臺伺服器被該團夥控制挖礦。由於其使用的挖礦木馬名為top,騰訊安全將其命名為TopMiner挖礦木馬。TopMiner挖礦團夥針對SSH弱口令進行爆破攻擊,成功後執行命令下載惡意shell腳本,並將啟動腳本寫入crontab定時任務進行持久化,shell腳本繼續下載挖礦木馬nginx、top啟動挖礦。
  • Linux伺服器遭遇挖礦蠕蟲攻擊,已有數千臺伺服器中招
    H2Miner是一個linux下的大型挖礦殭屍網絡,已被發現通過多個高危漏洞入侵Linux系統,並利用漏洞在企業內網或雲伺服器中橫向擴散。騰訊安全威脅情報中心預估已有數千臺伺服器中招,騰訊安全專家建議相關企業儘快排查伺服器被入侵的情況,及時清除H2Miner挖礦蠕蟲病毒。
  • H2Miner黑產團夥利用SaltStack漏洞控制伺服器挖礦,已獲利370萬元
    通過對木馬的核心腳本以及可執行文件的對比分析,我們確認了此次攻擊行動屬於挖礦木馬家族H2Miner。H2Miner挖礦木馬運行時會嘗試卸載伺服器的安全軟體,清除伺服器安裝的其他挖礦木馬,以獨佔伺服器資源。目前,H2Miner黑產團夥通過控制伺服器進行門羅幣挖礦已非法獲利超370萬元。
  • 挖礦木馬SysupdataMiner利用多個漏洞同時攻擊Windows、Linux
    該挖礦木馬利用SSH免密登錄的漏洞在內網傳播,然後利用掃描工具掃描外網Redis伺服器並進行弱口令爆破攻擊。在感染的機器上,SysupdataMiner會檢測阿里雲騎士和騰訊雲鏡並進行卸載,會通過多種特徵檢測其他挖礦木馬並進行清除,然後下載門羅幣挖礦木馬sysupdata並啟動。
  • Mykings殭屍網絡新變種通過PcShare遠程控制,已感染超5萬臺電腦挖礦
    ,更新後的Mykings會在被感染系統安裝開源遠程控制木馬PcShare,對受害電腦進行遠程控制:可進行操作文件、服務、註冊表、進程、窗口等多種資源,並且可以下載和執行指定的程序。Mykings殭屍網絡木馬還會關閉Windows Defender、檢測卸載常見殺毒軟體;卸載競品挖礦木馬和舊版挖礦木馬;下載「暗雲」木馬感染硬碟主引導記錄(MBR)實現長期駐留;通過計劃任務、添加啟動項等實現開機自動運行等行為。
  • 數萬臺MSSQL伺服器遭爆破入侵,已淪為門羅幣礦機
    ,該挖礦木馬主要針對MS SQL服務進行爆破弱口令攻擊,爆破成功後會植入門羅幣挖礦木馬進行挖礦。同時攻擊者下載frpc內網穿透工具安裝後門,並會添加用戶以方便入侵者遠程登錄該伺服器。從挖礦木馬的HFS伺服器計數看,已有上萬臺MSSQL伺服器被植入挖礦木馬,另有數十臺伺服器被安裝後門。攻擊者在失陷伺服器上安裝內網穿透工具會進一步增加黑客入侵風險,企業資料庫伺服器淪陷可能導致嚴重信息洩露事件發生。
  • 「匿影」挖礦木馬持續活躍,入侵某旅遊網站做病毒下載伺服器
    該變種木馬依然利用永恆之藍漏洞進行攻擊傳播,通過計劃任務、WMI後門進行本地持久化,然後在攻陷機器下載XMRig礦機挖礦門羅幣、下載nbminer礦機挖礦HNS(Handshake),還會利用regsvr32.exe加載執行DLL形式的木馬程序,匿影木馬新變種在已安裝騰訊電腦管家等數款安全軟體的電腦上不運行,試圖避免被安全廠商檢測到。
  • 警惕「偽裝者」木馬攻擊,會將遠控木馬和挖礦木馬裝在電腦上
    長按二維碼關注御見威脅情報中心一、概述騰訊安全御見威脅情報中心近期捕獲到一批偽裝成各類正常「軟體程序」進行攻擊的病毒,看起來可能下載了個工具軟體,運行後,「偽裝者」木馬內置的惡意腳本就會從病毒控制者的伺服器下載遠程控制木馬和門羅幣挖礦木馬運行
  • WannaMiner挖礦木馬不光擅長黑吃黑,最新變種還會過河拆橋
    XMR(門羅幣)同時還會下載遠程控制木馬,為了獨佔系統資源,這個WannaMiner挖礦木馬的最新變種會查殺其他挖礦木馬。釋放挖礦模塊we32.exe,這個挖礦模塊除了會結束其他挖礦木馬進程,還會在安裝好自身之後,關閉系統的135、137、138、139、445埠,避免這臺機器被其他入侵者控制。
  • 快Go礦工(KuaiGoMiner)控制數萬電腦挖礦,釋放遠控木馬竊取機密
    長按二維碼關注御見威脅情報中心一、背景騰訊安全御見威脅情報中心檢測到「快Go」(KuaiGoMiner)挖礦木馬攻擊該木馬利用NSA武器中的「雙脈衝星」、「永恆浪漫」、「永恆之藍」攻擊工具針對網際網路上的機器進行掃描攻擊,並在攻擊成功後植入挖礦和遠控木馬,已控制數萬臺電腦。因其使用的C2域名中包含「kuai-Go」,御見威脅情報中心將其命名為「快Go礦工」(KuaiGoMiner)。
  • WannaMiner挖礦木馬更新基礎設施 新手法已大賺17萬
    近期騰訊安全御見威脅情報中心檢測到該挖礦殭屍網絡更新了基礎設施,啟用了新的C2地址存放惡意代碼,並且通過Powershell內存注入挖礦和釋放PE木馬挖礦兩種形式來增大挖礦程序執行成功概率。WannaMine挖礦木馬升級後,已賺取收益402枚門羅幣(折合人民幣17.5萬元)。
  • 警惕針對SQL的爆破攻擊,入侵者會完全控制伺服器,挖礦只是小目標
    長按二維碼關注御見威脅情報中心一、概述近期騰訊安全御見威脅情報中心捕獲到通過SQL伺服器爆破傳播的挖礦木馬,挖礦團夥將惡意程序保存在HFS伺服器,並且將木馬程序偽裝成為某安全軟體。、內存、磁碟、攝像頭、安全軟體等基本信息,並將這些信息發送到遠程伺服器;3.木馬具有檢舉計算機帳戶,檢舉會話、獲取會話信息、添加刪除帳戶、開啟遠程桌面服務、修改硬碟主引導記錄、清空系統日誌、刪除磁碟文件、關閉Windows防火牆、關閉或禁用UAC,下載運行惡意程序,記錄鍵盤信息的能力;4.木馬會利用伺服器資源進行門羅幣挖礦。
  • KoiMiner挖礦木馬再度活躍 控制者來自某黑客論壇
    2018年11月15日騰訊御見威脅情報中心發現KoiMiner挖礦木馬變種,該變種的挖礦木馬netxmr升級到6.0版。木馬作者對部分代碼加密的方法來對抗研究人員調試分析,木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊進行蠕蟲式傳播。
  • SHC-Miner挖礦團夥通過SSH爆破攻擊上千臺雲主機,騰訊主機安全支持查殺
    被入侵的雲主機將被修改登錄密碼,添加名為shindei的管理員權限帳戶,添加系統免密登錄配置,使失陷系統被黑客完全控制,進而導致信息洩露風險。攻擊者下載植入的多個惡意模塊互相守護運行,進行挖礦運算會大量消耗系統資源,將嚴重影響正常業務系統運行。已部署騰訊主機安全、騰訊雲防火牆的系統均安然無恙。攻擊者使用的惡意程序大部分為ELF文件格式,基於x86_64指令集。
  • 永恆之藍捲土重來,新變種已感染1.5萬臺伺服器
    騰訊安全大數據監測數據顯示,永恆之藍下載器最新變種出現之後便迅速傳播,目前已感染約1.5萬臺伺服器,中毒系統最終用於下載運行門羅幣挖礦木馬。永恆之藍下載器木馬在不斷演進更新過程中,曾將EXE攻擊方式逐步切換到利用Powershell腳本實現無文件攻擊。
  • 騰訊御見:WannaMiner挖礦木馬攻擊事件通報
    0x1 概述  近期,騰訊御見威脅情報中心監控到有攻擊者利用「永恆之藍」漏洞,傳播一種門羅幣挖礦木馬
  • 騰訊安全截獲TeamTNT挖礦木馬最新變種,失陷主機被安裝IRC後門,攻擊者可實現任意目的
    騰訊安全2020年11月25日曾發布文章介紹TeamTNT挖礦家族利用Docker remote api未授權訪問漏洞(https://mp.weixin.qq.com/s/Bw8_zNBwpL1eTZZ0dxXQQw)。顯然,本次騰訊安全捕獲的TeamTNT最新變種表明,該團夥控制殭屍網絡的能力已得到提升,失陷伺服器的風險或損失更大了。
  • 騰訊主機安全(雲鏡)捕獲新挖礦木馬LoggerMiner,該木馬感染Docker容器,功能在持續完善中
    LoggerMiner,該木馬在雲上主機中攻擊傳播,會利用當前主機上的ssh帳號信息對其他主機發起攻擊,以控制更多系統。 木馬還會嘗試卸載雲伺服器安全軟體、結束競品挖礦木馬進程、停止系統日誌、修改系統安全設置,刪除其他競品挖礦木馬創建的帳戶、添加自己的新帳號,安裝定時任務實現持久化等功能。