攻击者针对目标系统投放挖矿木马,梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。
图2‑1 事件对应的ATT&CK映射图谱
攻击者使用的技术点如下表所示:
表2‑1 事件对应的ATT&CK技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
侦察 | 主动扫描 | 扫描log4j 2漏洞 |
初始访问 | 利用面向公众的应用程序 | 利用Java等面向公众的应用程序 |
执行 | 利用命令和脚本解释器 | 使用PowerShell和Shell脚本 |
利用Windows管理规范(WMI) | 删除现有WMI类的实例 | |
持久化 | 利用计划任务/工作 | 设置计划任务 |
防御规避 | 混淆文件或信息 | 使用Base64进行混淆 |
发现 | 发现系统所有者/用户 | 判断系统用户名 |
发现进程 | 发现竞品进程 | |
影响 | 资源劫持 | 利用系统CPU资源 |
3.1 攻击流程
Kthmimu挖矿木马在Windows平台中使用名为“lr.ps1”的PowerShell脚本执行主要功能,具体功能为下载挖矿程序和配置文件,删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。在Linux平台中使用名为“lr.sh”的Shell脚本执行主要功能,具体功能为下载并执行挖矿程序、结束竞品挖矿程序和创建计划任务等。
图3‑1 攻击流程
3.2 传播途径
攻击者使用Log4j 2漏洞进行传播攻击脚本,以下是Windows和Linux双平台Log4j 2漏洞利用代码。
图3‑2 下载lr.ps1
图3‑3 下载lr.sh
3.3 攻击事件样本整理
根据攻击事件对样本进行梳理得到如下信息:
表3‑1 攻击事件样本整理
样本下载地址 | 详细说明 |
hxxp[:]//14.55.65.217:8080/a/x.exe | Windows门罗币挖矿程序 |
hxxp[:]//14.55.65.217:8080/a/lr.ps1 | Windows恶意PowerShell |
hxxp[:]//14.55.65.217:8080/a/config.json | 门罗币挖矿配置文件 |
hxxp[:]//14.55.65.217:8080/a/x.rar | Linux门罗币挖矿程序 |
hxxp[:]//14.55.65.217:8080/a/lr.sh | Linux恶意Shell |
hxxp[:]//14.55.65.217:8080/a/apache.sh | Linux恶意Shell |
表3‑2 挖矿脚本中的矿池地址和钱包地址
矿池地址 | 钱包地址 |
91.121.140.167:80 | 45tdM15BthJWCKScmdxF9nGKfnZJpV8jK3ZmBDUofM5fdzoXURTrb9QQeCwiNXHyvibVFqtxeWwx57FnCqL4Z3y4S4G2tTy |
pool.supportxmr.com:80 |
根据矿池地址记录,目前,该钱包现在平均算力约170KH/s。
图3‑4 挖矿算力
针对非法挖矿,建议企业采取如下防护措施:
1.安装终端防护:安装反病毒软件;
2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
4.及时更新第三方应用补丁:建议及时更新第三方应用如Tomcat、WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁;
5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
6.主机加固:对系统进行渗透测试及安全加固;
7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。
5.1 Windows样本分析
5.1.1 lr.ps1
表5‑1 脚本文件
病毒名称 | Trojan/Win32.Ymacco |
原始文件名 | lr.ps1 |
MD5 | 701EDFC11EE90B8A0D106B6FD98F5B42 |
文件大小 | 2.84KB(2,904字节) |
解释语言 | PowerShell |
VT首次上传时间 | 2022-03-06 02:22:32 |
VT检测结果 | 12/59 |
删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。
图5‑1 删除WMI类的实例
如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。
图5‑2 下载挖矿程序
5.2 Linux样本分析
5.2.1 lr.sh
表5‑2 脚本文件
病毒名称 | Trojan[Downloader]/Shell.Agent |
原始文件名 | lr.sh |
MD5 | E06704BCBED0CE2D7CADE20FA1D8A7B6 |
文件大小 | 2.09KB(2,138字节) |
解释语言 | Shell |
VT首次上传时间 | 2022-03-05 22:26:41 |
VT检测结果 | 20/58 |
结束竞品挖矿进程。
图5‑3 结束竞品挖矿程序
创建计划任务,查询重要目录下的挖矿关键字符串等信息,如果则强制结束相关进程。
图5‑4 创建计划任务
下载挖矿程序和配置文件以及脚本文件并执行,最后删除脚本文件。
图5‑5 下载挖矿程序和配置文件
5.2.2 apache.sh
结束竞品程序,独占系统资源。
图5‑6 结束竞品进程
IoCs |
3EDCDE37DCECB1B5A70B727EA36521DE |
701EDFC11EE90B8A0D106B6FD98F5B42 |
BF9CC5DF6A9FF24395BD10631369ACBF |
D6E55C081CCABD81E5DE99ABFE9597F4 |
135276572F4C6A8B10BD31342997B458 |
E06704BCBED0CE2D7CADE20FA1D8A7B6 |
639825B85E02E6B9DFFCA50EE4DE9B6B |
56BB7858F60C026DF6D48C32099EA2E7 |
14.55.65.217 |
14.55.65.199 |
91.121.140.167 |
pool.supportxmr.com:80 |
hxxp[:]//14.55.65.217:8080/a/x.exe |
hxxp[:]//14.55.65.217:8080/a/lr.ps1 |
hxxp[:]//14.55.65.217:8080/a/config.json |
hxxp[:]//14.55.65.217:8080/a/lrr.txt |
hxxp[:]//14.55.65.217:8080/a/x.rar |
hxxp[:]//14.55.65.217:8080/a/lr.sh |
hxxp[:]//14.55.65.217:8080/a/apache.sh |
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/180203.html