威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
概述
近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
背景介绍
Bulehero
Bulehero挖矿蠕虫最早出现于2018年初,初次曝光于2018年8月,因最早使用bulehero.in域名被命名为Bulehero。该蠕虫专注于攻击Windows服务器,通过植入恶意挖矿软件进行牟利。它使用多种复杂的攻击方式进行传播,自出现后更新频繁,不断的将新的攻击方式加入自己的武器库。
PhpStudy后门漏洞
PhpStudy是国内的一款免费的PHP调试环境的程序集成包,在国内有着近百万的PHP语言学习者和开发者用户。在2019年9月20日,网上爆出PhpStudy存在“后门”:黑客早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。该“后门”具有远程控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。据报道黑客利用该漏洞共非法控制计算机67万余台,非法获取大量账号密码类、聊天数据类、设备码类等数据10万余组。该“后门”除了会造成挖矿和信息泄露,还有可能被勒索病毒利用,服务器关键数据被勒索病毒加密后将无法找回,给被害者造成大量的数据、经济损失。
蠕虫分析
攻击行为分析
攻击者会向被攻击的服务器发送一个利用漏洞的HTTP GET请求,恶意代码存在于请求头的Accept-Charset字段,字段内容经过base64编码。解码后可以发现这是一段windows命令:利用certutil.exe工具下载download.exe
解码后内容:
被感染主机行为
如上图是恶意文件在主机中的行为流程图,download.exe是Bulehero的下载器,会下载名为ScarupnpLogon.exe
的文件。该文件会释放多个打包的恶意文件,这些恶意文件可分为三个模块:挖矿模块、扫描模块、攻击模块。
- 挖矿模块:该模块进行门罗币的挖矿,Bulehero在该版本中并未使用公共矿池进行挖矿,改用自建的矿池代理进行挖矿任务分发,因此可以避免暴露钱包地址,防止安全研究人员的跟踪。
- 扫描模块:该模块会扫描互联网的特定开放端口,并将扫描结果写入到名为Result.txt的文件中
- 攻击模块:
该模块集成多种漏洞利用工具,读取扫描结果并攻击其他主机,如下进程是其使用永恒之蓝漏洞模块进行攻击。
我们对比Bulehero升级前的样本行为,发现它在主机中的行为并未有较大改变,依然是通过download.exe下载器下载文件包,并释放三个功能模块。但是它为了隐藏自身改变了恶意文件命名方式,升级前通过混淆的系统文件名进行伪装,升级后全部为随机的文件路径和文件名。虽然随机文件名相对于混淆系统文件名更容易暴露自己,但这种策略的好处是可以避免被其他挖矿病毒通过进程指纹清除,在资源竞争中占据优势。
- 其他行为
使用netsh ipsec安全工具,阻断存在漏洞的服务端口,防止其他竞争者进入。
修改主机host防止其他竞争者劫持域名。
时间线
我们根据Bulehero的恶意文件编译时间和文件上传时间,可以确定Bulehero的升级时间是在10月6号的23点,距离PhpStudy后门漏洞利用方式曝光只有2周。如果企业存在漏洞,去除中间的国庆长假,真正留给企业的修复之间只有几天。从恶意文件下载次数来看,截止到发稿前已经有1万5千次的下载,可见该蠕虫传播速度极快,造成的破坏性很大。
其他攻击方式
除了此次更新增加的PhpStudy后门漏洞,Bulehero还使用多种攻击方式,如下是其他已知的攻击方式。
IOCs
60[.]164[.]250[.]170
185[.]147[.]34[.]136
fky[.]dfg45dfg45[.]best
uu[.]dfg45dfg45[.]best
uu1[.]dfg45dfg45[.]best
ox[.]mygoodluck[.]best
oo[.]mygoodluck[.]best
安全建议
- 企业需要对涉及的漏洞及时修复,否则容易成为挖矿木马的受害者。
- 建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽恶意网站,达到阻断入侵的目的。此外,云防火墙独有的虚拟补丁功能,能够帮助客户更灵活、更“无感”地阻断攻击。
- 对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但希望保障系统安全的企业。
双11福利来了!先来康康#怎么买云服务器最便宜# [并不简单]参团购买指定配置云服务器仅86元/年,开团拉新享三重礼:1111红包+瓜分百万现金+31%返现,爆款必买清单,还有iPhone 11 Pro、卫衣、T恤等你来抽,马上来试试手气!https://www.aliyun.com/1111/2019/home?utm_content=g_1000083110
本文作者:桑铎
本文为云栖社区原创内容,未经允许不得转载。
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库的更多相关文章
- 威胁快报|ProtonMiner挖矿蠕虫扩大攻击面,加速传播
背景 近日,阿里云安全监测到一种挖矿蠕虫,正在互联网上加速传播.阿里云安全根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner.据分析,这种蠕虫与TrendMi ...
- phpStudy后门漏洞利用复现
phpStudy后门漏洞利用复现 一.漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOptimiz ...
- 威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟
近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙.我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名. Xulu并不是第一个攻击Dock ...
- phpstudy后门漏洞复现php5.2
前段时间phpstudy被人发现某些版本存在后门,许多人就这样被当作肉鸡长达两年之久 后门隐藏在程序自带的php的php_xmlrpc.dll模块 影响的版本:phpstudy2016和2018 在H ...
- 威胁快报|Solr dataimport成挖矿团伙新型利用方式
概述 近日,阿里云安全团队监测到挖矿团伙利用solr dataimport RCE(CVE-2019-0193)作为新的攻击方式对云上主机进行攻击,攻击成功后下载门罗币挖矿程序进行牟利.该团伙使用的恶 ...
- ProtonMiner挖矿蠕虫
特征 ProtonMail邮箱地址 利用漏洞 服务 漏洞 Hadoop 未授权访问 Drupal CVE-2018-7600 Redis 未授权访问 Spring Data Commons CVE-2 ...
- 威胁快报|挖矿团伙8220进化,rootkit挖矿趋势兴起
近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏.这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势 ...
- 威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户
近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为Default ...
- JbossMiner 挖矿蠕虫分析 (转载)
前言 从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑.据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻. ...
随机推荐
- Delphi abstract error异常
今天在编译之前的一个的项目时, 退出程序时出现abstract error抽象错误的异常, 点击Continue又出现释放对象的异常, 百思不得其解, 之前还好好的,突然这样了, 经过一上午的调试, ...
- mybatis模糊查询(转载)
原文地址:http://blog.csdn.net/luqin1988/article/details/7865643 模糊查询: 1. sql中字符串拼接 SELECT * FROM tableNa ...
- php chunk_split()函数 语法
php chunk_split()函数 语法 作用:把字符串分割为一连串更小的部分.东莞大理石平板 语法:chunk_split(string,length,end) 参数: 参数 描述 string ...
- 微博API的申请
https://segmentfault.com/a/1190000012548487
- wsl中加载git之后,发现文件是修改状态
查看git status,发现所有文件都被修改. git diff文件查看,发现是行尾的问题导致的. https://github.com/Microsoft/WSL/issues/184 在wsl里 ...
- Ajax二级联动简单实例
效果图: 图1 图2(浙江省内存在山东省的数据,原因是先前加入的数据未删除) 思路:通过下拉省份,将省份id传入后台,根据省份塞入相应省份的市的数据,将市的数据再次传回前端 前端HTML及JS代码: ...
- [python面试题] 什么是单例,单例有什么用,业务场景是什么
单例概念: 单例是一个特殊的类,这个类只能创建一次实例,例子如下: 1.a = Std(name='leo'), b = Std(name='jack'),两者的指向都是name=‘leo’的对象: ...
- 数论---lcm和gcd
cd即最大公约数,lcm即最小公倍数. 首先给出a×b=gcd×lcm 证明:令gcd(a,b)=k,a=xk,b=yk,则a×b=xykk,而lcm=xyk,所以ab=gcd*lcm. 所以求lcm ...
- 嵌入式C语言3.4 关键字---类型描述符auto/register/static/const/extern/volatile/
对内存资源存放位置的限定 1. auto 默认值---分配的内存都是可读可写的区域 auto int a; 区域如果出现 {} 我们认为在栈空间 2. register register int a; ...
- 【python】 读写文件
#标准输出 sys.stdout.write() sys.stderr.write() #标准输入 while True : try: line = raw_input().rstrip(); exc ...