概述

近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。

背景介绍

Bulehero

Bulehero挖矿蠕虫最早出现于2018年初,初次曝光于2018年8月,因最早使用bulehero.in域名被命名为Bulehero。该蠕虫专注于攻击Windows服务器,通过植入恶意挖矿软件进行牟利。它使用多种复杂的攻击方式进行传播,自出现后更新频繁,不断的将新的攻击方式加入自己的武器库。

PhpStudy后门漏洞

PhpStudy是国内的一款免费的PHP调试环境的程序集成包,在国内有着近百万的PHP语言学习者和开发者用户。在2019年9月20日,网上爆出PhpStudy存在“后门”:黑客早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。该“后门”具有远程控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。据报道黑客利用该漏洞共非法控制计算机67万余台,非法获取大量账号密码类、聊天数据类、设备码类等数据10万余组。该“后门”除了会造成挖矿和信息泄露,还有可能被勒索病毒利用,服务器关键数据被勒索病毒加密后将无法找回,给被害者造成大量的数据、经济损失。

蠕虫分析

攻击行为分析

攻击者会向被攻击的服务器发送一个利用漏洞的HTTP GET请求,恶意代码存在于请求头的Accept-Charset字段,字段内容经过base64编码。解码后可以发现这是一段windows命令:利用certutil.exe工具下载download.exe

解码后内容:

被感染主机行为

如上图是恶意文件在主机中的行为流程图,download.exe是Bulehero的下载器,会下载名为ScarupnpLogon.exe
的文件。该文件会释放多个打包的恶意文件,这些恶意文件可分为三个模块:挖矿模块、扫描模块、攻击模块。

  • 挖矿模块:该模块进行门罗币的挖矿,Bulehero在该版本中并未使用公共矿池进行挖矿,改用自建的矿池代理进行挖矿任务分发,因此可以避免暴露钱包地址,防止安全研究人员的跟踪。
  • 扫描模块:该模块会扫描互联网的特定开放端口,并将扫描结果写入到名为Result.txt的文件中

  • 攻击模块:
    该模块集成多种漏洞利用工具,读取扫描结果并攻击其他主机,如下进程是其使用永恒之蓝漏洞模块进行攻击。

我们对比Bulehero升级前的样本行为,发现它在主机中的行为并未有较大改变,依然是通过download.exe下载器下载文件包,并释放三个功能模块。但是它为了隐藏自身改变了恶意文件命名方式,升级前通过混淆的系统文件名进行伪装,升级后全部为随机的文件路径和文件名。虽然随机文件名相对于混淆系统文件名更容易暴露自己,但这种策略的好处是可以避免被其他挖矿病毒通过进程指纹清除,在资源竞争中占据优势。

  • 其他行为
    使用netsh ipsec安全工具,阻断存在漏洞的服务端口,防止其他竞争者进入。

修改主机host防止其他竞争者劫持域名。

时间线

我们根据Bulehero的恶意文件编译时间和文件上传时间,可以确定Bulehero的升级时间是在10月6号的23点,距离PhpStudy后门漏洞利用方式曝光只有2周。如果企业存在漏洞,去除中间的国庆长假,真正留给企业的修复之间只有几天。从恶意文件下载次数来看,截止到发稿前已经有1万5千次的下载,可见该蠕虫传播速度极快,造成的破坏性很大。


其他攻击方式

除了此次更新增加的PhpStudy后门漏洞,Bulehero还使用多种攻击方式,如下是其他已知的攻击方式。

IOCs

60[.]164[.]250[.]170
185[.]147[.]34[.]136
fky[.]dfg45dfg45[.]best
uu[.]dfg45dfg45[.]best
uu1[.]dfg45dfg45[.]best
ox[.]mygoodluck[.]best
oo[.]mygoodluck[.]best

安全建议

  1. 企业需要对涉及的漏洞及时修复,否则容易成为挖矿木马的受害者。
  2. 建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽恶意网站,达到阻断入侵的目的。此外,云防火墙独有的虚拟补丁功能,能够帮助客户更灵活、更“无感”地阻断攻击。
  3. 对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但希望保障系统安全的企业。

双11福利来了!先来康康#怎么买云服务器最便宜# [并不简单]参团购买指定配置云服务器仅86元/年,开团拉新享三重礼:1111红包+瓜分百万现金+31%返现,爆款必买清单,还有iPhone 11 Pro、卫衣、T恤等你来抽,马上来试试手气!https://www.aliyun.com/1111/2019/home?utm_content=g_1000083110

本文作者:桑铎

原文链接

本文为云栖社区原创内容,未经允许不得转载。

威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库的更多相关文章

  1. 威胁快报|ProtonMiner挖矿蠕虫扩大攻击面,加速传播

    背景 近日,阿里云安全监测到一种挖矿蠕虫,正在互联网上加速传播.阿里云安全根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner.据分析,这种蠕虫与TrendMi ...

  2. phpStudy后门漏洞利用复现

    phpStudy后门漏洞利用复现 一.漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOptimiz ...

  3. 威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟

    近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙.我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名. Xulu并不是第一个攻击Dock ...

  4. phpstudy后门漏洞复现php5.2

    前段时间phpstudy被人发现某些版本存在后门,许多人就这样被当作肉鸡长达两年之久 后门隐藏在程序自带的php的php_xmlrpc.dll模块 影响的版本:phpstudy2016和2018 在H ...

  5. 威胁快报|Solr dataimport成挖矿团伙新型利用方式

    概述 近日,阿里云安全团队监测到挖矿团伙利用solr dataimport RCE(CVE-2019-0193)作为新的攻击方式对云上主机进行攻击,攻击成功后下载门罗币挖矿程序进行牟利.该团伙使用的恶 ...

  6. ProtonMiner挖矿蠕虫

    特征 ProtonMail邮箱地址 利用漏洞 服务 漏洞 Hadoop 未授权访问 Drupal CVE-2018-7600 Redis 未授权访问 Spring Data Commons CVE-2 ...

  7. 威胁快报|挖矿团伙8220进化,rootkit挖矿趋势兴起

    近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏.这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势 ...

  8. 威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户

    近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为Default ...

  9. JbossMiner 挖矿蠕虫分析 (转载)

    前言 从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑.据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻. ...

随机推荐

  1. 支付宝证书签名 PHP SDK

    PHP 接入支付宝证书方式签名以及验签 支付宝在 2019.10.25 日左右更新了新的 PHP SDK (v4.1.0). 之前的 PHP SDK(v3.4.2) 仅支持公钥方式加签.这次更新之后 ...

  2. UiAutomator和Appium之间的区别2

    UiAutomator和Appium之间的区别和联系 联系: 在Android端,appium基于WebDriver协议,利用Bootstrap.jar,最后通过调⽤用UiAutomator的命令,实 ...

  3. Linux任务计划at

    Linux任务计划at 一Linux任务计划介绍 Linux任务计划.周期性任务执行at:未来的某时间点执行一次任务batch:系统自行选择空闲时间去执行此处指定的任务cron:周期性运行某任务 二a ...

  4. spring-cloud:Hystrix熔断的使用示例

    1.运行环境 开发工具:intellij idea JDK版本:1.8 项目管理工具:Maven 4.0.0 2.GITHUB地址 https://github.com/nbfujx/springCl ...

  5. LOJ 2557 「CTSC2018」组合数问题 (46分)

    题目:https://loj.ac/problem/2557 第一个点可以暴搜. 第三个点无依赖关系,k=3,可以 DP .dp[ cr ][ i ][ j ] 表示前 cr 个任务.第一台机器最晚完 ...

  6. python中将12345转换为'12345',不要使用str

    a = 12345 #创建一个空字符串 ret = "" #whlie循环,条件为当a为true时,即a不是 0的时候 while a : #定义一个变量,对a求余 last = ...

  7. Xcode 10如何打包ipa包?

    参考: https://www.jianshu.com/p/0421b3fd2470 前置条件 首先导入证书和配置文件 具体操作步骤: product>>Archive 如图所示,选择Di ...

  8. 测开之路五十六:实现类似unittest的断言

    import inspect class Case(object): """ 实现断言 """ def __init__(self): se ...

  9. 网络命令-nc(一)

    一直在linux环境下编程,但却没有用过nc命令,不过最近发现Netcat这个命令-nc,发现真的蛮强大的, 为了备忘,就写了这个博客吧,不求全,只求把自己觉得很有用的命令整理出来,这篇文章估计要长期 ...

  10. PromQL

    PromQL (Prometheus Query Language) 是 Prometheus 自己开发的数据查询 DSL 语言,语言表现力非常丰富,内置函数很多,在日常数据可视化以及rule 告警中 ...