湖南某科技公司疑似利用Struts2漏洞傳毒挖礦

2021-01-12 瑞星網
湖南某科技公司疑似利用Struts2漏洞傳毒挖礦

2017-09-12   

近日,瑞星收到用戶求助,表示內網中有大量伺服器中毒,並且每臺機器CPU佔用極高,導致網內業務系統無法正常工作。經過瑞星安全專家調查取證分析發現,這又是一個由於沒有及時更新Struts2漏洞,導致內網淪陷的案例,黑客利用漏洞植入挖礦軟體,瘋狂消耗用戶機器資源,幫助其賺錢。

近日,瑞星收到用戶求助,表示內網中有大量伺服器中毒,並且每臺機器CPU佔用極高,導致網內業務系統無法正常工作。經過瑞星安全專家調查取證分析發現,這又是一個由於沒有及時更新Struts2漏洞,導致內網淪陷的案例,黑客利用漏洞植入挖礦軟體,瘋狂消耗用戶機器資源,幫助其賺錢。

瑞星安全專家在中毒的機器中發現了門羅幣挖礦病毒,該病毒偽裝成explorer.exe,運行之後會釋放挖礦程序挖掘門羅幣,導致受害者計算機資源極度消耗,這就是導致該內網機器卡頓,無法正常工作的重要原因。

瑞星安全專家進一步分析發現,該攻擊者所使用的礦池域名為wakuang.aimezi.com,這並不是一個網際網路公開的礦池,此域名很可能是攻擊者自己的域名,通過查詢該域名的whois信息,查到了域名註冊人及註冊電話。

通過註冊電話又查到了一家公司,湖南郴州某軟體開發公司,通過調查發現,此域名註冊人正是該公司股東,並且該域名註冊電話還曾出售過比特幣,同時,該公司還做VPN代理服務,初步可以確認正是這家公司發起了漏洞攻擊。

目前,該用戶內網中的病毒均已被瑞星清除,同時瑞星已將分析資料移交給當地公安機關,進一步調查取證將由當地公安機關進行。

瑞星安全專家表示,大多數企業網絡安全意識較差,沒有專職人員維護、管理機制不健全,一旦出現安全問題便束手無策。瑞星安全專家建議,企業應經常關注安全信息與漏洞更新情況,同時根據自身的狀況選擇專門的安全產品和服務,健全企業內部管理機制,降低企業的安全風險。

Struts2又曝出新的高危遠程代碼執行漏洞CVE-2017-9805 (S2-052),受影響Struts2 版本為:Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12,建議用戶升級到 Struts 2.5.13 or Struts 2.3.34解決問題。

病毒詳細分析如下:1、病毒初始樣本分析

病毒初始樣本為Dropper,偽裝成Explorer圖標,用E語言開發,運行後釋放出挖礦程序和守護服務程序到系統Fonts目錄,並設置隱藏屬性。

圖:病毒主體偽裝圖標

表:釋放文件功能

釋放完相應的文件之後,運行批處理1.bat 執行相應功能。批處理執行完畢後調用wevtutil刪除系統的日誌。

圖:刪除日誌的命令行參數

2、bat批處理腳本分析:

批處理腳本主要負責傳遞命令行參數,運行csrss.exe創建守護服務,設置文件屬性,導入reg文件添加服務描述。

圖:腳本內容

批處理中啟動腳本:

表:批處理含義

3、服務程序csrss分析:

Csrss程序為一開源服務管理程序NSSM,,功能類似於windows的服務管理器,相比windows自帶服務管理器的擴展了一些功能。從系統角度來看 NSSM 把自己設置為系統服務(而不是把被代理的應用程式設置為服務), 運行之後會啟動相應的應用程式,並一直檢測此程序是否存在,如果此程序意外終止,NSSM 將會重新啟動此程序,並且將相關情況記錄到系統事件日誌中,以便用戶可以了解應用程式為什麼不能正常運行。

此案例中,病毒作者這樣利用NSSM啟動挖礦程序,傳入挖礦程序的名字conhosts 和礦池的地址。NSSM啟動後會一直守護著挖礦程序的運行,如果退出則重新啟動。

圖:服務信息

圖:啟動參數

4、挖礦程序分析

挖礦程序conhosts.exe使用的是開源的cpuminer軟體,命令行參數指定了礦池地址和門羅幣錢包地址。

表:礦池和帳號

釋放了一些 挖礦程序cpuminer需要用到的DLL

圖:挖礦程序需要用到的DLL

病毒有很多變種,下圖是自解壓包的挖礦變種

圖:自解壓包變種

運行之後釋放出挖礦程序和庫文件

圖:壓縮包內部

病毒其他變種也是同樣套路,只不過文件名有所修改,會偽裝為 svchost.exe 、taskhost.exe等。

溯源追蹤

為了弄清背後的攻擊者,瑞星做了簡單的溯源分析,攻擊者使用的礦池域名wakuang.aimezi.com並不是一個網際網路公開的礦池域名,此域名很大可能是攻擊者自己的域名,查尋了下該域名的whois信息,如下:

圖:域名信息

通過域名註冊電話查詢到一家公司:

圖:公司信息

域名註冊者zuolin zhou 是此公司股東,可見此域名正是此公司註冊。

圖:公司股東

此手機號碼還曾經出售比特幣

圖:出售比特幣

圖:交易信息

圖:公司主營業務

IOC

MD5:

3E05CFF86B7C51D56AB9C2A79CD025B9DCB512376F8B9A7A5521AA05910B5152E3427D9F439AEBEFA3D9C299E2A94AF3

URL:

wakuang.aimezi.com

錢包地址:

42zpXaFjFJZaj55h6h8ctRXCaLsa2NnMJ3fNU73To3J8YZUsZJrvehmSebzQBi5sDbc6Bnu4yT78bN12ntzypbtg7c8di8t

[責任編輯:瑞瑞]

相關焦點

  • 「挖礦殭屍」利用SaltStack漏洞入侵伺服器:多家企業中招、已獲利...
    日前,騰訊御見威脅情報中心通報了一起H2Miner黑產團夥利用SaltStack漏洞控制伺服器挖礦的入侵案例。據悉,騰訊安全威脅情報中心於2020年05月03日檢測到H2Miner木馬利用SaltStack遠程命令執行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企業主機進行挖礦。通過對木馬的核心腳本以及可執行文件的對比分析,確認了此次攻擊行動屬於挖礦木馬家族H2Miner。
  • 安徽四川兩電腦高手利用遊戲漏洞 非法獲利兩百餘萬被抓
    原標題:電腦高手虛擬萬個玩家「挖礦」 ,非法獲利200多萬四川和安徽兩電腦高手非法利用網絡抓包軟體抓取遊戲數據包,從中獲取遊戲參數和漏洞,然後編寫軟體外掛程序,可以讓上萬個帳號同時登錄,自動註冊和打遊戲「挖礦」,以此非法獲利200多萬元。
  • 安全大腦解析「驅動人生定向攻擊「最新動作:利用木馬控制電腦挖礦
    2018年12月14日下午,360安全大腦監測到一批攜帶永恆之藍漏洞攻擊組件的下載器木馬,該類木馬主要通過「人生日曆」等驅動人生系列產品升級組件下發。14日晚間,360公司向廠商通報了相關情況,該下發活動已停止。截止目前,該木馬累計攻擊計算機超過6萬臺計算機(僅包括通過升級組件受到攻擊的情況,不含利用漏洞的二次攻擊情況,360安全衛士帶有永恆之藍漏洞免疫功能)。
  • 曲阜師範大學數學系U.S.News排名超北大,疑似利用規則漏洞引爭議
    曲阜師範大學超越北大排名第一,山東科技大學排名第三。 曲阜師範大學校園 而現在,曲阜師大疑似利用了規則的漏洞。
  • 挖礦、勒索、盜竊 黑客盯上數字貨幣_中國電子銀行網
    應用盈利模式由廣告轉向挖礦,門羅幣成為挖礦幣種首選以及攻擊目標向電子貨幣錢包轉移成為Android平臺挖礦木馬的趨勢。目前挖礦木馬的防禦措施,PC平臺已經具備防禦能力,移動平臺由於權限控制不能徹底防禦。
  • 黑客是如何利用你的瀏覽器進行挖礦的?
    4、DeepMiner家族網頁挖礦木馬介紹:  DeepMiner是一個開源的JS挖礦項目,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。  4.1、DeepMiner網頁挖礦腳本代碼,如下所示:
  • 「老虎」挖礦木馬偽裝「火爆新聞」傳播 騰訊安全率先查殺
    因其挖礦使用的自建礦池包含字符「laofubtc」,騰訊安全技術專家將其命名為「老虎」挖礦木馬(LaofuMiner)。據騰訊安全御見威脅情報中心監測數據統計,此次有數千家企業受到「老虎」挖礦木馬攻擊影響,北京、廣東、上海、河南、山東等地,成為本次攻擊受害較嚴重的區域。
  • 360:AI關鍵基礎設施正面臨三重風險人臉識別有漏洞
    新浪科技訊 8月26日晚間消息,360公司表示,AI關鍵基礎設施正面臨三重風險,包括某些人臉識別設備能讓任意人通過,不僅AI算法存在漏洞,其所依賴的關鍵基礎設施也同樣會被攻擊。360 AI安全研究院表示,目前AI的三重風險包括:學習框架風險、硬體風險及雲平颱風險。第一,針對深度學習框架安全風險。
  • 以太坊錢包和挖礦設備8545埠出現漏洞
    作為一名礦工,你是否認為即使加密貨幣價格下跌,你也可以通過挖礦賺取額外的收入?但事實是,如果你疏忽大意,不注意有關8545埠問題的警告,當某天你看到你的以太幣一夜之間全部消失時也不要感到奇怪。
  • 物業公司5人團夥利用漏洞詐騙10萬元工資,作案手法一度迷惑了警察
    張東是鄭州市某物業管理公司負責人,他的公司主要從事寫字樓項目的物業管理經營,今年以來,因需要,他對該公司進行了盤點和突擊檢查。以前的檢查並未發現任何異常,但是這次,卻讓張東發現了不小的問題,其中一個位於鄭東新區的項目部門,存在人員在崗與工資領取不相符的情況,而且領取的工資數目還不小。
  • 湖南邦源環保科技有限公司工業固廢資源化綜合利用工程 變更環境...
    北極星固廢網訊:導讀:根據《中華人民共和國環境保護法》及《環境影響評價公眾參與辦法》的相關規定,現對本項目建設有關環境保護的情況進行第二次公示,以便廣泛了解社會公眾對本項目建設的態度以及環保方面的意見和建議,接受社會公眾的監督,公示內容如下:一、項目概況湖南邦源環保科技有限公司前身為
  • 挖礦新姿勢 左手礦 右手幣 燃燒我的Calorie 走起
    然而經過長期的數據跟蹤,小卡發現數字貨幣的挖礦仍然是一個收益不錯的選擇,雖然不像短期內的顯示的年化收益I80-300%這麼誇張,但大多數機型年化收益20%以上問題不大。眾所周知,BTC的挖礦在礦機層面來說,已經從早起的CPU人人可挖礦,進化為現在的ASIC專業礦機和礦業集團寡頭的的局面。 BTC已經發展多年,進入門檻較高,對小白用戶已經不大友好。
  • 千騰科技|DeFi 固定利率88mph於11月21日重啟新一輪流動性挖礦
    1、DeFi 固定利率生成協議 88mph 將於 11 月 21 日重啟新一輪流動性挖礦DeFi固定利率生成協議88mph宣布將於北京時間11月21日凌晨4點重啟新一輪流動性挖礦,新啟動的流動性挖礦同樣持續14天,將向參與用戶分發
  • 谷歌披露Windows零日漏洞 已有證據表明被黑客利用
    谷歌的 Project Zero 團隊近日披露了存在於 Windows 系統中的零日漏洞,會影響從 Windows 7 至 Windows 10 Version 1903 系統版本。在博文中,谷歌表示已經有證據表明有攻擊者利用該漏洞發起了攻擊,可提升權限以執行遠程代碼。
  • 從「挖礦人」升級到「公司有礦」? 金誠信發布礦山資源併購相關公告
    原標題:從「挖礦人」升級到「公司有礦」? 金誠信發布礦山資源併購相關公告   從「打工挖礦」到「家裡有礦」之間隔著多遠?
  • 劉曉慶因代言某「養生鞋」惹爭議,疑似騙局產品,被官媒點名
    還有就是代言產品,企業利用明星的知名度對產品進行宣傳,明星在獲得高昂代言費的同時在一定程度上也讓更多的人看到了自己,產品選得好可謂是名利雙收。但為產品代言也是有一定風險的,如果產品本身存在虛假誇大甚至對人的健康產生危害,明星也是要擔責的,同時自己的名譽也會受損。
  • 賣「鏟子」的嘉楠科技:我要挖礦!
    嘉楠科技相關負責人向《科創板日報》記者表示。不過,公司今年四季度和明年一季度的礦機預售訂單交貨金額已合計超過4500萬美元,為後續業績埋下一定伏筆。就在昨日,比特幣價格刷新歷史紀錄,最高衝至19888美元。嘉楠科技也難逃「真香定律」,稱將開展挖礦及數字貨幣業務,以享受區塊鏈行業高速發展的紅利。
  • 熱烈祝賀柳化集團公司與廣東中成公司 湖南智成公司 湖南中成公司...
    如今,柳化正在依託機制創新、科技創新、管理創新,打造「產值100億元,銷售收入100億元」現代大型化肥化工企業。廣東中成公司是一家資產與柳化相當的大型高科技化工企業,在湖南株洲和廣東東莞擁有三大生產基地,產品遠銷美國、澳大利亞、日本等60多個國家和地區。
  • 湖南臨武:大力推進生物質能源綜合利用
    臨武縣大力推進鄉村振興、綠色發展,開展農業綠色發展行動,將農作物秸稈綜合利用,大力發展生物質能源開發產業,實現廢棄物資源化、產業模式生態化。該縣還制訂了生物質能源開發產業發展計劃,力爭農村所產生秸稈等廢棄物全部實現資源化綜合利用。
  • Axis 大量攝像頭現連環漏洞,黑客:你的隱私是我的
    該漏洞可使攻擊者在連環利用多個漏洞後獲取 root 權限 shell 進行遠程命令執行或直接進行拒絕服務或獲取敏感信息。該漏洞影響Axis從1.x 到8.x 眾多系列390 多個型號。Axis 產品專注於安全監視和遠程監控應用領域,在全球的20個國家和地區開設有分支機構,並與超過 70個國家和地區的合作夥伴展開合作。