威脅快報|首爆新型ibus蠕蟲，利用熱門漏洞瘋狂挖礦牟利

1、背景

近日阿里雲安全團隊發現了一塊兒利用多個流行漏洞傳播的蠕蟲事件。黑客首先利用ThinkPHP遠程命令執行等多個熱門漏洞控制大量主機，並將其中一臺「肉雞」做爲蠕蟲腳本的下載源。其他受控主機下載並運行此蠕蟲腳本後，繼續進行大規模漏洞掃描和弱口令爆破攻擊，從而實現橫向傳播。涉及的漏洞除了ThinkPHP遠程命令執行漏洞，還有JBoss、Weblogic、Redis等產品的漏洞。

由於該蠕蟲最初植入的惡意腳本名爲ibus，因此命名爲ibus蠕蟲。本篇文章主要介紹了阿里雲安全對此類蠕蟲入侵的各個階段的檢測、防護和隔離，保障阿里雲用戶的資產安全。但願讀者經過本篇文章，能夠意識到當前網絡安全的風險與日俱增，安全漏洞無處不在，黑客經過簡單、自動化的手段就能夠對用戶利益形成極大的損害。

目前阿里雲安全團隊對網絡進行了實時監控，並幫助雲上用戶修復潛在風險，若是漏洞依然存在，建議請儘快對自身進行檢查，或者參考文末的安全建議。

2、蠕蟲主要特色及結構

基於阿里雲態勢感知的大數據平臺，咱們對該黑客組織進行了追蹤和詳細分析，該黑客經過ThinkPHP漏洞和蠕蟲腳本獲取了大量的肉雞進行牟利。阿里雲安全團隊詳細分析了此蠕蟲的主要特色，包括：

使用多種漏洞進行傳播，以web代碼執行漏洞爲主；

• 惡意腳本的名字及路徑具備迷惑性，且多份拷貝存放於不一樣的目錄下；
• 主要代碼perl實現，具有功能完備的C&C通訊模塊；
• C&C通訊使用http協議，通訊內容加密；
• 經過挖掘門羅幣進行獲利。

蠕蟲的功能結構由惡意腳本、傳播模塊、C&C模塊、挖礦模塊等組成。

黑客首先利用ThinkPHP v5 遠程命令執行漏洞攻擊了大量主機，並將ip爲67.209.177.163的服務器做爲蠕蟲腳本的下載源。

以後攻擊者控制其餘被入侵主機從67.209.177.163下載ibus腳本並執行。該腳本用perl語言寫成，主要功能是解碼、寫入並執行C&C (Command and Control)模塊。

攻擊者進而經過向C&C模塊發送命令，下載包含多種攻擊payload的傳播模塊，以及由下載器、配置文件和挖礦程序組成的挖礦模塊，挖礦從而獲取利潤。傳播模塊則繼續攻擊未被入侵主機，橫向傳播。

黑客入侵的各個階段以下圖所示：

​3、蠕蟲模塊分析

1.攻擊及惡意腳本植入

對大多數被入侵主機，攻擊者最初是利用ThinkPHP v5 遠程代碼執行漏洞，經過以下payload植入惡意腳本

能夠看到這裏從http://67.209.177.163/ibus下載並運行了ibus。分析後發現ibus是一個perl腳本，該腳本會從Linux根目錄開始遍歷全部目錄（最大深度爲6），找出當前帳號有寫權限的全部文件夾，存入列表。

以後對列表中的目錄進行打分，取分數最高的三個目錄。打分標準例如完整路徑以"/bin"開頭的目錄分數最高，"/usr/bin"其次，以此類推。

在最後挑選出來的三個目錄中，寫入一樣的C&C模塊腳本（腳本分析見後文），並分別命名爲nmi, nbus和.dbus。這三個都是系統程序的名字，定時執行時還會打印出「These are for bus-kernl-daemon service」，很是具備迷惑性。

​ibus腳本最後進行定時任務添加和腳本自刪除操做。

​2.傳播模塊

下圖爲攻擊函數列表，能夠看出此蠕蟲代碼利用了多種漏洞進行橫向傳播，包括java反序列化漏洞、Weblogic WLS組件RCE漏洞(CVE-2017-10271)、WebLogic 任意文件上傳漏洞(CVE-2018-2894)、redis 未受權訪問漏洞等。

如下是部分攻擊代碼：

1）對JBoss用戶名、密碼暴力破解

涉及的部分用戶名和弱口令列表：

​2）使用weblogic漏洞上傳Webshell

3）redis 未受權訪問漏洞

3.C&C模塊

該部分的內容是由ibus中的$encnde解碼後獲得，相同內容被寫入三個不一樣的文件夾，難以被完全清理。

C&C模塊也是一個perl腳本，它實現了完整的控制功能：

腳本包含的核心函數/模塊：

• newsocketto：實現socket通訊
• GetCommand、PostCommand：實現基本的http get/post功能
• SendBackResult、SendBackState：返回c&c指令的執行結果和執行狀態
• register：c&c上線註冊
• check_relay：檢測主c&c是否可用
• Knock_Knock：獲取C&C指令，會返回needregr、newtask、notasks、newreconfig四種指令
• Update_Config_File、Load_Config_File：更新和加載配置文件
• DownLoadExec、DownLoadExecPar：下載文件並執行，DownLoadExecPar可帶參數執行
• Updateme：更新
• scanme：掃描目錄
• getrelfromblog、getrelfromblog一、srel：備用c&c
• crntabvalidator：修改crontabs屬性，後面會循環執行，防止定時任務被刪除
• UUID Management ：爲每一個肉雞生成uuid
• MAIN Function：cc模塊主函數

C&C模塊的功能：

MAIN Function經過Knock_Knock獲取c&c指令，實現以下功能

• Command Execution :命令執行（實際並未實現執行功能)
• Download Execute:下載文件執行
• Download Execute W Params：下載文件帶參數執行
• Uninstall：卸載自身
• killcycle：終止運行
• Update Me：更新

C&C服務器是speakupomaha.com：

下圖爲控制主機執行GetCommand的部分代碼：

4、影響範圍

由配置文件可知，ibus蠕蟲對應的錢包地址爲4An3Radh69LgcTHJf1U3awa9ffej4b6DcUmEv8wirsDm8zRMSjifrwybH2AzHdEsW8eew3rFtk4QbGJMxqitfxmZJhABxpT。其影響範圍從攻擊者收益和挖礦規模的角度來看，因爲該錢包地址在http://minexmr.com/#worker_stats 對應的挖礦速率(HashRate)約爲167KH/s，據此粗略估計，全網約有1萬臺的主機被這種蠕蟲感染，黑客所以天天能牟利30.86美圓（925.74美圓 每個月）。

​而從攻擊時間上看，1月4號和12號是黑客攻擊的高峯，且蠕蟲攻擊仍在蔓延。

5、安全建議

針對這次ibus蠕蟲攻擊，阿里雲安全向用戶提供如下安全建議：

1. 互聯網上掃描和攻擊無處不在，web漏洞、弱密碼、服務器存在未受權訪問，均可能致使主機被挖礦，應儘可能避免使用弱密碼，此外能夠選擇購買阿里雲的雲防火牆和態勢感知實現威脅檢測、主機防護和安全隔離。
2. 對於已感染的客戶，能夠經過購買阿里雲安全管家服務，在安全專家的指導下進行病毒清理和安全加固。

IOC

從virustotal查詢發現，9b6c1672fc9d5721af5ae6ac9d053b34 這個惡意腳本IoC，目前市面上大多數引擎檢測不出來。

而阿里雲態勢感知基於深度學習和規則引擎的模型能夠對大部分的惡意腳本進行識別。態勢感知告警以下圖所示，

錢包地址：4An3Radh69LgcTHJf1U3awa9ffej4b6DcUmEv8wirsDm8zRMSjifrwybH2AzHdEsW8eew3rFtk4QbGJMxqitfxmZJhABxpT

惡意Host：

67.209.177.163

190.2.147.11

C&C 服務器：

http://speakupomaha.com

備用C&C服務器：

linuxservers.000webhostapp.com

linuxsrv134.xp3.biz

5.196.70.86

礦池地址：

http://minexmr.com

做者：悟泛、踢歪、桑鐸；致謝：劉洪亮、千霄、淡陌

 

原文連接 更多技術乾貨 請關注阿里云云棲社區微信號 ：yunqiinsight