騰訊安全捕獲新威脅:利用Hadoop Yarn REST API未授權漏洞攻擊雲主機,安裝多種木馬通過SSH爆破擴散

長按二維碼關注

騰訊安全威脅情報中心

騰訊安全威脅情報中心檢測到有攻擊者利用Hadoop Yarn REST API未授權命令執行漏洞攻擊雲上主機，攻擊成功後執行惡意命令，向系統植入挖礦木馬、IRC BotNet後門、DDoS攻擊木馬，入侵成功後還會使用SSH爆破的方式進一步向目標網絡橫向擴散。

攻擊者入侵成功後，會清理系統進程和文件，以清除其他資源佔用較高的進程（可能是可疑挖礦木馬，也可能是正常服務），以便最大化利用系統資源。入侵者同時會配置免密登錄後門，以方便進行遠程控制，入侵者安裝的IRC後門、DDoS木馬具備完整的目標掃描、下載惡意軟體、執行任意命令和對特定目標進行網絡攻擊的能力。

通過對木馬家族進行關聯分析，發現本次攻擊活動與永恆之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw殭屍網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團夥發起。

因本次攻擊具有蠕蟲式的擴散傳播能力，可下載安裝後門、執行任意命令，發起DDoS攻擊，對受害單位網絡信息系統安全構成嚴重影響。騰訊安全專家建議用戶儘快修復Hadoop Yarn REST API未授權命令執行漏洞，避免採用弱口令，採用騰訊安全的技術方案檢測系統，清除威脅。

Hadoop是一個由Apache基金會所開發的分布式系統基礎架構，YARN是hadoop系統上的資源統一管理平臺，其主要作用是實現集群資源的統一管理和調度，可以把MapReduce計算框架作為一個應用程式運行在YARN系統之上，通過YARN來管理資源。

YARN提供有默認開放在8088和8090的REST API（默認前者）允許用戶直接通過API進行相關的應用創建、任務提交執行等操作。在配置不當的情況下，REST API將會開放在公網，從而導致未授權訪問的風險，黑客可利用該風險進行遠程命令執行，實現對目標主機的完全控制。

騰訊安全專家建議受影響的用戶檢查以下項目，清除木馬，加固系統。

目錄：

/tmp/.W10-unix/.rsync/

計劃任務項:
11*/2** /a/upd>/dev/null 2>&1
58**0 /b/sync>/dev/null 2>&1
@reboot /b/sync>/dev/null 2>&1  
00*/3** /c/aptitude>/dev/null 2>&1

加固：
1.如果Hadoop環境僅對內網提供服務，請不要將其服務開放到外網可訪問。
2.如果必須開啟公網訪問，Hadoop在2.X以上版本提供了安全認證功能，建議管理員升級並啟用Kerberos的認證功能，阻止未經授權的訪問。

騰訊安全全系列產品，可以在該團夥攻擊的各個環節實施檢測、防禦。

騰訊安全產品應對本次威脅的詳細響應清單如下：

應用場景

安全產品

解決方案

威

脅

情

報

騰訊T-Sec

威脅情報雲查服務

（SaaS）

1）威脅情報已加入，可賦能全網安全設備。

各類安全產品可通過「威脅情報雲查服務」提供的接口提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高級威脅追溯系統

1）該Miner挖礦團夥相關情報已支持檢索，可自動關聯分析到該病毒家族最新變種，使用資產。

網管可通過威脅追溯系統，分析日誌，進行線索研判、追溯網絡入侵源頭。T-Sec高級威脅追溯系統的更多信息，可參考：https://cloud.tencent.com/product/atts

雲原生安全

防護

雲防火牆

（Cloud  Firewall，CFW）

基於網絡流量進行威脅檢測與主動攔截，阻斷惡意攻擊流量，阻斷惡意通信流量：

1）Miner相關聯的IOCs已支持識別檢測；

2）Miner利用Hadoop Yarn REST API未授權漏洞發起的惡意攻擊以支持識別檢測，阻斷；

3）支持檢測SSH爆破攻擊活動。

 

有關雲防火牆的更多信息，可參考：
 https://cloud.tencent.com/product/cfw

騰訊T-Sec   主機安全

（Cloud  Workload Protection，CWP）

1）已支持Miner關聯模塊的檢測告警、查殺清理；

2）支持檢測SSH爆破攻擊活動。

 

騰訊主機安全（雲鏡）提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多信息，可參考：https://cloud.tencent.com/product/cwp

騰訊T-Sec 安全運營中心

基於客戶雲端安全數據和騰訊安全大數據的雲安全運營平臺。已接入騰訊主機安全（雲鏡）、騰訊御知等產品數據導入，為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。

關於騰訊T-Sec安全運營中心的更多信息，可參考：https://s.tencent.com/product/soc/index.html

非雲企業安全防護

騰訊T-Sec

高級威脅檢測系統

（騰訊御界）

基於網絡流量進行威脅檢測，已支持：

1）Miner相關聯的IOCs已支持識別檢測；

2）Miner利用Hadoop Yarn REST API未授權漏洞發起的惡意攻擊以支持識別檢測；

3）支持對SSH爆破攻擊活動進行檢測。

 

關於T-Sec高級威脅檢測系統的更多信息，可參考：

https://cloud.tencent.com/product/nta

騰訊T-Sec

零信任無邊界

訪問控制系統

 （iOA）

1）已支持Miner關聯模塊的檢測告警、查殺清理。

 

零信任無邊界訪問控制系統（iOA）是騰訊結合自身豐富的網絡安全管理實踐經驗與「零信任」理念，推出的網絡邊界訪問管控整體解決方案。更多資料，可參考：https://s.tencent.com/product/ioa/index.html

歡迎長按識別以下二維碼，添加騰訊安全小助手，諮詢了解更多騰訊安全產品信息。

攻擊者使用Hadoop命令執行入侵成功後執行惡意的經過BASE64編碼的shell腳本，解碼後可知，其目的是使用sftp從sshapi.netcatkit.com內下載dota3.tar.gz包，將其解壓後執行目錄內的initall文件和golan文件。

/tmp/.W10-unix/.rsync/initall
/tmp/.W10-unix/.rsync/c/golan

initall執行後則進一步對系統進程，文件進行清理，最終調用執行init2

Intit2執行後則執行解壓包內的多個文件，分別存放在a,b,c三個子文件夾。a目錄下文件多層調用後執行挖礦程序；b目錄多層調用後傳播IRC BotNet後門木馬，同時修改系統免密登錄配置留下後門；c目錄文件主要運行masscan做埠掃描，運行stsm（sshprank）進行暴力破解。

同時將3個目錄下的主調度文件寫入crontab啟動項。

主要功能為從文件、進程、網絡對其它資源佔用較高的程序進行清理，最終調用腳本執行wanwakuang的礦機文件。

x86_64架構下執行挖礦wanwakuang，i686架構下執行anacron，但anacron模塊並不存在，推測當前其挖礦平臺覆蓋度並不完善

wanwakuang則為xmr礦機程序，進行門羅幣挖礦。

進一步執行/.rsync/b/run程序

該腳本主要包含兩部分BASE64編碼過的惡意命令，第一部分解碼後為使用Perl編寫的IRC BotNet木馬，第二部分解碼後主要為結束其它資源佔用進程的shell命令，該文件同時會篡改authorized_keys文件進行免密登錄後門配置。

解碼後Perl編寫的IRC BotNet 木馬，該木馬會對C2地址：api.netcatkit.com:443建立IRC連接，本地NICK，USER隨機生成，管理員NICK為polly，molly。IRC連接成功後默認加入#007頻道，木馬具備基本的遠程shell命令執行，文件下載，ddos網絡攻擊等功能。

指定目標進行Shell命令執行

指定目標埠掃描，指定下載

指定目標進行TCP，UDP，IGMP，ICMP類型流量攻擊

 

調用masscan埠掃描工具和stsm暴力破解工具，對區域網內的開放的SSH服務進行暴破攻擊，掃描時會首先獲取本地SSH歷史登錄配置信息，通過直接攻擊本地登錄過的機器以提高其爆破成功率。

 

分析可知，該挖礦攻擊代碼結構，調度流程與Outlaw殭屍網絡高度一致，下左圖為本次捕獲到的挖礦套件，右為Outlaw殭屍網絡攻擊套件。兩者有著基本一致的包名，子模塊名，腳本調度流程。不同之處為兩者挖礦模塊名字不同，挖礦模塊存儲方式分別為本地包內存儲化和動態C2下載形式，同時兩者使用到的掃描器有些許差異。

從其攻擊方式和基礎設施來看，更像是永恆之藍家族投遞，樣本payload都使用netcatkit.com，sqlnetcat.com下的子域名進行託管，同時最終的包名，挖礦模塊名有一致性。

下圖為最近捕獲的永恆之藍下載器木馬使用Hadoop Yarn REST API未授權命令執行攻擊入侵，其payload託管地址為t.netcatkit.com/ln.core

永恆之藍payload其內當前注釋掉的代碼部分，下載連結包解壓後執行initall：down.sqlnetcat.com/dota3.tar.gz（當前下載連結失效），dota3.tar.gz同樣解壓出名為的.rsync攻擊套件

IOCs

MD5:
6eb76f7d81e899b29c03b8ee62d9acb3
be85068596881f3ebd6c0c76288c9415
10ea65f54f719bffcc0ae2cde450cb7a
4adb78770e06f8b257f77f555bf28065
eefc0ce93d254982fbbcd26460f3d10d
be5771254df14479ad822ac0a150807a
e46e8c74e2ae7d9bc2f286793fe2b6e2
c2531e3ee3b3ca43262ab638f9daa101
f093aae452fb4d8b72fe9db5f3ad559a
c97485d5ba33291ed09b63286a7d124c
3570a54d6dace426e9e8520f302fe551

Domain：
sshapi.sqlnetcat.com
sshapi.netcatkit.com
sshapi.ouler.cc
api.netcatkit.com
www.minpop.com
t.netcatkit.com
down.sqlnetcat.com

URL：
hxxp://www.minpop.com/sk12pack/names.php
hxxp://www.minpop.com/sk12pack/idents.php

參考連結：
1.亡命徒（Outlaw）殭屍網絡感染約2萬臺Linux伺服器，騰訊安全提醒企業及時清除
https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg

2.永恆之藍木馬下載器再更新，雲上主機成為新目標

https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ