概述
近日,阿里云安全监测到一种利用多种漏洞入侵挖矿的恶意攻击,团伙不仅通过4层协议进行入侵,还集成了最新的Web RCE漏洞,由于其主要文件名为xmss,我们将该团伙命名为XMSSMiner。
阿里云安全专家分析发现,该僵尸网络不仅通过SMB、SSH进行蠕虫化传播,还利用Yapi、Solr、Confluence等远程命令执行漏洞进行入侵,最终通过持久化方式进行挖矿,对用户主机资源、资产产生不良危害。
阿里云安全持续对该BOT进行监控,发现近期传播有所上升,提醒广大用户注意防护。
传播手段
XMSSMiner通过多种漏洞进行入侵和传播,利用xmss、1.ps1、inis等脚本下载挖矿木马并执行,通过cron.d、crontab等进行持久化,通过不同方式收集key、host、username、sshport进行对外传播。
阶段分析
漏洞利用分析
XMSSMiner不仅利用SSH进行对外传播,亦利用多种流行RCE漏洞进行传播以牟取最大利益,通过云端大数据监控,已知的漏洞利用有
各个漏洞详细RCE Payload如下
1)Yapi Mock远程命令执行漏洞
2)Apache Solr 远程代码执行漏洞(CVE-2017-12629)
3)Confluence远程文件读取(CVE-2019-3396)
4)Shiro RememberMe 1.2.4远程代码执行(解密后)
5)Apache Solr DataImportHandler远程命令执行(CVE-2019-0193)
6)泛微OA ecology任意代码执行
7)亿邮电子邮件系统远程命令执行
8)Apache Solr Velocity 模版远程命令执行
详细分析
XMSSMiner通过上述多种方式入侵主机后会做持久化和对外传播操作,具体分析如下。
通过crontab做持久化
XMSSMiner持久化上通过固定时间23点半执行curl、wget命令下载bash脚本以维持对主机持续的入侵
内部横向移动或对外传播
XMSSMiner通过SSH内部横向或对外传播感染系统信任主机,以获取更大的利益,以下是执行脚本函数
XMSSMiner通过不同方式收集key、host、username、sshport,而后通过循环遍历方式进行横向移动或对外传播,其收集方式如下
入侵命令操作如下
安全建议
1)云防火墙利用大数据对互联网上最新出现RCE进行实时监控,从RCE披露到响应时间整体小于3小时,能够有效阻止客户资产被RCE漏洞攻击,其支持3-7层协议不仅满足对Web网站的HTTP协议的防护,同时支持4层大量TCP/UDP协议的防御。当前云防火墙默认支持对XMSSMiner多种远程命令执行漏洞的防御。
2)云防火墙智能策略依据历史流量自学习,提供符合客户业务暴露面收敛的最佳实践,通过“一键下发”或“自主选择”可以实现资产的最大程度的互联网暴露收敛,避免端口对外不当暴露风险,同时有效阻止“重保模式”下网络空间测绘的扫描行为。
IOC
C2
198.46.202.146
192.210.200.66
IP
192.210.200.66
Domain
w.apacheorg.top
apacheorg.xyz
jakegarza.net
w.apacheorg.xyz
apacheorg.top
URL
http://192.210.200.66:1234/xmss
http://192.210.200.66:123/xmss
http://192.210.200.66:1234/1.ps1
http://192.210.200.66:1234/svhostd.jpg
http://192.210.200.66/svhostd.jpg
http://192.210.200.66:1234/.libs
http://198.46.202.146:1234/xmrig
http://107.172.214.23:1234/xmss
http://w.apacheorg.top:1234/inis