一周时间,那个打鸡血的Sysrv-hello僵尸网络又多了1
Sysrv-hello僵尸网络近期更新频率极高。从当前捕获到的病毒版本来看,该僵尸网络蠕虫模块攻击方式由之前以爆破攻击为主、漏洞利用为辅转变为:更加依赖漏洞攻击。新变种在极短时间内向蠕虫传播模块集成了14种新漏洞攻击方式。
摘要:
l Sysrv-hello僵尸网络自去年12月被发现之后,更新十分频繁;
l 最初以爆破攻击为主漏洞攻击为辅,目前已转变为主要依赖漏洞攻击;
l 对新漏洞武器的采用速度较快;
l 其使用的恶意载荷托管地也频繁改变;
l 目前版本的最终载荷为门罗币挖矿木马[kthreaddi];
l 其拥有的漏洞攻击武器使其具备很强的蠕虫病毒扩散能力:
1) Hadoop未授权漏洞利用;
2) XXLjob未授权漏洞利用;
3) Thinkphp 命令执行漏洞;
4) Supervisord 命令执行漏洞(CVE-2017-11610);
5) Joomla 反序列化漏洞(CVE-2015-8562);
6) Phpunit 远程代码执行漏洞(CVE-2017-9841);
7) Apache Unomi远程代码执行漏洞 (CVE-2020-13942);
8) SaltStack 命令注入漏洞(CVE-2020-16846);
9) Mongo-express 远程代码执行漏洞(CVE-2019-10758);
10) Drupal 远程代码执行漏洞(CVE-2018-7600);
11) Jenkins远程命令执行漏洞(CVE-2018-1000861);
12) Jboss反序列化漏洞(CVE-2017-12149);
13) Confluence远程代码执行漏洞(CVE-2019-3396);
14) Laravel远程代码执行漏洞(CVE-2021-3129)
一、概述
国内有关安全威胁情报中心检测到,Sysrv-hello僵尸网络近期更新频率极高。从当前捕获到的病毒版本来看,该僵尸网络蠕虫模块攻击方式由之前以爆破攻击为主、漏洞利用为辅转变为:更加依赖漏洞攻击。
其新变种在极短时间内向蠕虫传播模块集成了14种新漏洞攻击方式,而这次发现离腾讯安全本月初报告该团伙增加5种漏洞攻击方式仅仅过去一周多。Sysrv-hello僵尸网络最早被安全厂商关注到的时间为2020年12月,该团伙对新漏洞武器的采用速度较快,已是目前技术更新最为频繁的僵尸网络之一,被其攻陷的主机系统有数万台之多。我们预见该团伙未来一段时间仍会高频更新其病毒版本和漏洞攻击工具。
Sysrv-hello僵尸网络发起的攻击数量近期呈明显上升趋势。
由于该僵尸网络具备很强的蠕虫病毒扩散特性,其利用的漏洞武器攻击面覆盖多数企业常用的互联网服务组件,最终载荷危害Linux、Windows双系统。在此提醒企业安全运维人员提高警惕,利用企业已部署的安全防护系统积极排查、修补业务系统漏洞,以免遭遇Sysrv-hello僵尸网络的攻击。
排查&加固
建议安全运维人员排查以下条目,以判断系统是否受到损害。
文件:
/tmp/sysrv*
/tmp/随机目录/[kthreaddi]
进程:
sysrv*
*kthreaddi*
network*
定时任务:
下拉执行(hxxp://*.*.*.*/ldr.sh)的风险crontab项
加固:
排查自身对外开放的网络服务组件,对存在的安全漏洞及时修复。
1.Hadoop在2.X以上版本提供了安全认证功能,建议管理员升级并启用Kerberos的认证功能,阻止未经授权的访问。
2.开启 XXL-JOB 自带鉴权组件,消除XXL-JOB未授权命令执行漏洞风险。
3.将Thinkphp 、Supervisord 、Joomla 等受影响的组件升级到安全版本。
二、分析
Sysrv-hello僵尸网络近期更新十分频繁,新版本入侵成功后植入的脚本也不同以往,运行后首先会结束老版本运行中的模块,并将当前自身写入计划任务启动项,随后执行蠕虫、挖矿等相关模块。
分析当前活跃版本可知,Sysrv-hello僵尸网络以往的老版本病毒攻击方式多以爆破攻击为主漏洞攻击为辅。而新版病毒攻击方式更偏向于直接利用漏洞攻击开放的web服务。观察其近期更新情况,已在短时间内新增14种网络组件的漏洞攻击能力,包括:
1.Hadoop未授权漏洞利用;
2.XXLjob未授权漏洞利用;
3.Thinkphp 命令执行漏洞;
4.Supervisord 命令执行漏洞(CVE-2017-11610);
5.Joomla 反序列化漏洞(CVE-2015-8562);
6.Phpunit 远程代码执行漏洞(CVE-2017-9841);
7.Apache Unomi远程代码执行漏洞 (CVE-2020-13942);
8.SaltStack 命令注入漏洞(CVE-2020-16846);
9.Mongo-express 远程代码执行漏洞(CVE-2019-10758);
10.Drupal 远程代码执行漏洞(CVE-2018-7600);
11.Jenkins远程命令执行漏洞(CVE-2018-1000861);
12.Jboss反序列化漏洞(CVE-2017-12149);
13.Confluence远程代码执行漏洞(CVE-2019-3396);
14.Laravel远程代码执行漏洞(CVE-2021-3129)
Sysrv-hello僵尸网络使用的扫描探测端口也从9个增加到12个。
以下为部分漏洞攻击过程使用到的相关payload:
Supervisord 命令执行漏洞(CVE-2017-11610)
Mongo-express 远程代码执行漏洞(CVE-2019-10758)
ThinkPHP 命令执行漏洞
XXLjob未授权漏洞利用payload相关内容
Jenkins远程命令执行漏洞(CVE-2018-1000861)利用payload相关内容
Drupal 远程代码执行漏洞(CVE-2018-7600)利用payload相关内容
Phpunit 远程代码执行漏洞(CVE-2017-9841)利用payload相关内容
Apache Unomi远程代码执行漏洞 (CVE-2020-13942)利用payload相关内容
Laravel远程代码执行漏洞(CVE-2021-3129)利用payload相关内容
同时,分析发现,Sysrv-hello僵尸网络以往版本所使用的网络基础设施基本比较固定,而
该团伙使用的恶意载荷托管地也频繁改变,其近期使用的活跃资产主要包括以下ip和域名:
194.40.243.98
45.145.185.85
31.42.177.123
31.210.20.120
185.239.242.71
185.239.242.70
finalshell.nl
Sysrv-hello僵尸网络的最终载荷依然为挖矿木马,payload运行后释放出[kthreaddi]模块进行门罗币挖矿。云主机被入侵感染Sysrv-hello僵尸网络病毒后,其蠕虫扩散模块和矿机模块会占用大量CPU资源,会对云主机的正常业务运行产生严重影响。
三、威胁视角看攻击行为
IOCs
MD5
ae8a20aa2ea6e32cc6d8693f64794a49
4ad7b05d65b40a568d20241d0bc5f729
c98696f4668d08fe07138b814be3dac5
IP
194.40.243.98
45.145.185.85
31.42.177.123
31.210.20.120
185.239.242.71
185.239.242.70
DOMAIN
finalshell.nl
URL
hxxp://31.210.20.120/ldr.sh
hxxp://31.210.20.120/sysrvv
参考链接:
1. Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿
https://mp.weixin.qq.com/s/iNqBcLKwhVUSz5ltLN_ubw
2. Sysrv-hello僵尸网络最新版新增5种攻击能力
https://mp.weixin.qq.com/s/p7s6aqxyznfZUQOnJavXsA
本文转载自腾讯安全威胁情报中心
