freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    BuleHero 4.0挖矿蠕虫真疯狂,超十种方法攻击企业网络,已有3万电脑中招
    2019-11-14 09:33:34
    所属地 广东省

    一、背景

    腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中,BuleHero引入了多种新漏洞的使用,包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。该团伙善于学习和使用各类Web服务器组件漏洞。包括以前用到的Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化任意代码执行漏洞,又引入了Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用,使得其攻击方法增加到十个之多。

    1.png


    BuleHero在进入目标系统后,首先通过命令下载downlaod.exe,然后downlaod.exe下载主模块swpuhostd.exe,swpuhostd.exe释放密码抓取工具,端口扫描工具,永恒之蓝攻击工具进行扫描和攻击,同时依次进行行多种web服务组件的探测和漏洞利用攻击,并在中招电脑下载挖矿木马和远程控制木马。 

    根据腾讯安全御见威胁情报中心数据,BuleHero挖矿蠕虫病毒目前感染超过3万台电脑,影响最严重地区为广东,北京,江苏,山东等地,影响较严重的行业分别为互联网,科技服务,贸易服务业。

    2.png

    二、详细分析

    攻击和传播

    攻击模块swpuhostd.exe将自身注册为服务“mekbctynn”,然后释放密码抓取工具mimikatz,扫描工具,永恒之蓝攻击工具到C:\Windows\tqibchipg\目录下。

    3.png


    vfshost.exe为mimikatz为密码抓取工具,可以从内存中获取电脑登录时使用的账号密码明文信息,BuleHero使用抓取到的密码进行横向传播。

    4.jpg


    tcnuzgeci.exe和trctukche.exe都是端口扫描工具,扫描ip.txt中指定的IP范围,探测139/445/3389/8983等端口,将结果保存至Result.txt中,并在后续的漏洞攻击过程中使用。

    5.jpg


    而UnattendGC目录下依然存放的是永恒之蓝攻击包文件,目前使用的漏洞攻击工具包括永恒之蓝,双脉冲星,永恒浪漫和永恒冠军。

    6.png


    攻击模块swpuhostd.exe执行以下漏洞攻击过程:

    Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615),首先通过漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell执行传入的命令下载木马。

    7.png


    Apache Struts2远程代码执行漏洞(CVE-2017-5638),Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行,漏洞影响范围:Struts 2.3.5 – Struts 2.3.31,Struts 2.5 –Struts 2.5.10。

    8.png


    Weblogic远程代码执行的反序列化漏洞CVE-2018-2628,漏洞利用了T3协议的缺陷实现了Java虚拟机的RMI:远程方法调用(RemoteMethod Invocation),能够在本地虚拟机上调用远端代码,攻击者利用此漏洞远程执行任意代码。

    9.png


    Thinkphp V5漏洞(CNVD-2018-24942),该漏洞是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。

    10.png


    Weblogic反序列化远程代码执行漏洞(CVE-2019-2725),由于weblogic中wls9-async组件的WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。

    11.png


    Drupal远程代码执行漏洞CVE-2018-7600,Drupal对Form API(FAPI)AJAX请求的输入环境不够,导致攻击者可以将恶意负载注入内部表单结构,从而执行任意代码。

    12.png


    Apache Solr 远程命令执行漏洞CVE-2019-0193,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,导致攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行。

    13.png


    PHP的php_xmlrpc.dll模块中的隐藏后门利用,影响版本:phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)。该后门利用事件今年9月由杭州公安在《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》中披露,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭黑客篡改并植入“后门”,后门位于程序包自带的PHP的php_xmlrpc.dll模块中,攻击者构造并提交附带恶意代码的请求包,可执行任意命令。

    14.png


    攻击模块swpuhostd.exe执行爆破过程:

    IPC$远程爆破连接,爆破登录成功后在目标机器利用Psexec工具或者利用WMIC执行远程命令。

    15.png


    在攻击模块的代码中还包含3389(RDP服务)端口扫描行为,虽然目前未根据扫描结果进行下一步动作,但由于该团伙十分活跃,推测其可能在后续的更新中添加RDP漏洞(BlueKeep)CVE-2019-0708的攻击代码。腾讯安全威胁情报中心监测数据表明,仍有相当比例的Windows电脑未修复CVE-2019-0708漏洞,该漏洞存在蠕虫病毒利用风险。

    16.png

    挖矿

    BuleHero病毒攻击成功,会将挖矿木马释放到Windows目录下C:\Windows\Temp\geazqmbhl\hvkeey.exe,木马采用XMRig编译,挖矿使用矿池为mx.oops.best:80,mi.oops.best:443。 

    17.png

    远程控制

    释放远控木马到C:\Windows\SysWOW64\rmnlik.exe目录下,上线连接地址

    ox.mygoodluck.best:12000。

    18.png

    三、安全建议

    因该病毒利用大量已知高危漏洞攻击入侵,并最终通过远程控制木马完全控制中毒电脑组建僵尸网络,危害极大。腾讯安全专家建议企业重点防范,积极采取以下措施,修复安全漏洞,强化网络安全。 

    1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html 

    2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞。 

    XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 

    Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 

    3.定期对服务器进行加固,尽早修复服务器文档提及的相关组件安全漏洞,安装服务器端的安全软件; 

    4.服务器使用高强度密码,切勿使用弱口令,防止被黑客暴力破解; 

    5.使用腾讯御点终端安全管理系统拦截可能的病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html);

    19.png


    6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html

    20.png

    IOCs

    IP

    185.147.34.136

    185.147.34.106

    172.104.91.191

    139.162.2.123

     

    Md5

    ecb3266326d77741815ecebb18ee951a

    398fb3fed9be2941f3548a5d0d4b862c

    6ef68c9b73b1beee2efabaf6dfe11051

    f62a9a4720da8f4afb457569465c775c

    f89544ecbf66e93c2821625861ae8821

    b1956fe89e3d032be3a06820c63f95a6

     

    Domain

    fk.0xbdairolkoie.space

    zik.fxxxxxxk.me

    xs.0x0x0x0x0.club

    rs.s1s1s1s1s.fun

    qb.1c1c1c1c.best

    jz.1c1c1c1c.xyz

    ik.s1s1s1s1s.host

    ff.s1s1s1s1s.site

    eq.s1s1s1s1s.asia

    cu.s1s1s1s1s.pw

    ce.1c1c1c1c.club

    wiu.fxxxxxxk.me

    wc.fuckingmy.life

    upa2.hognoob.se

    upa1.hognoob.se

    uio.hognoob.se

    uio.heroherohero.info

    rp.oiwcvbnc2e.stream

    rp.666.stream

    qie.fxxxxxxk.me

    q1a.hognoob.se

    pxx.hognoob.se

    pxi.hognoob.se

    ox.mygoodluck.best

    oo.mygoodluck.best

    noilwut0vv.club

    mx.oops.best

    mi.oops.best

    li.bulehero2019.club

    heroherohero.info

    haq.hognoob.se

    fxxk.noilwut0vv.club

    fid.hognoob.se

    dw.fuckingmy.life

    cb.fuckingmy.life

    bk.oiwcvbnc2e.stream

    bk.kingminer.club

    bk.heroherohero.in

    aic.fxxxxxxk.me

    a88.heroherohero.info

    a88.bulehero.in

    a47.bulehero.in

    a46.bulehero.in

    a45.bulehero.in

     

    URL

    http[:]//fk.0xbdairolkoie.space/download.exe

    http[:]//fk.0xbdairolkoie.space/ swpuhostd.exe

    http[:]//xs.0x0x0x0x0.club:63145/cfg.ini

    http[:]//qb.1c1c1c1c.best:63145/cfg.ini

    http[:]//ce.1c1c1c1c.club:63145/cfg.ini

    http[:]//jz.1c1c1c1c.xyz:63145/cfg.ini

    http[:]//eq.s1s1s1s1s.asia:63145/cfg.ini

    http[:]//rs.s1s1s1s1s.fun:63145/cfg.ini

    http[:]//ik.s1s1s1s1s.host:63145/cfg.ini

    http[:]//cu.s1s1s1s1s.pw:63145/cfg.ini

    http[:]//ff.s1s1s1s1s.site:63145/cfg.ini

     

    参考链接:

    https://www.freebuf.com/column/180544.html

    https://www.freebuf.com/column/181604.html

    https://www.freebuf.com/column/197762.html

    https://www.freebuf.com/column/204343.html

    # 腾讯安全 # BuleHero蠕虫病毒 # 门罗币挖矿木马 # “PHPStudy“后门
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者