阿里云安全中心,监控到givemexyz挖矿家族在云上持续活跃。该家族通过使用服务器弱口令、Web漏洞、中间件漏洞等进行传播。并且该家族使用bash、python、powershell等恶意脚本进行批量攻击,具备跨平台传播的能力。因传播范围广、影响范围大,并有愈演愈烈的趋势,因此有必要对其利用方式进行纰漏。
首先分析givemexyz家族使用的武器化漏洞。从漏洞类型区分,该家族主要使用Web RCE、中间件未授权访问、暴力破解进行攻击。
暴力破解
除利用上述比较新的漏洞外,givemexyz家族还在使用Weblogic WLS 组件(CVE-2017-10271)、Hadoop 未授权访问、docker remote api未授权访问、Weblogic反序列化远程代码执行(CVE-2019-2725)等漏洞利用,并不断使用新披露的漏洞进行攻击扫描。
不仅如此,从攻击者使用的“http://209.141.40.190/scan.sh”恶意脚本中可以看出,该家族一直内置暴力破解扫描模块,不断进行对外扫描。
路径 | md5 | 作用 |
---|---|---|
/var/tmp/scan | b42183f226ab540fb07dd46088b382cf | 内网SSH端口扫描 |
/var/tmp/hxx | f0551696774f66ad3485445d9e3f7214 | SSH暴力破解、远程执行程序 |
攻击者利用漏洞,在受害者机器上远程执行恶意脚本代码。
如果是Linux机器,则执行如下命令:
givemexyz家族Linux版本的攻击流程如下:
攻击流程中涉及的恶意文件功能:
文件名 | 文件类型 | 文件功能 |
---|---|---|
ee.py | python脚本 | 载荷投递 |
hxx | 二进制程序 | SSH暴力破解、远程执行程序 |
ps | 文本 | 弱口令账户密码字典 |
scan | 二进制程序 | 内网SSH端口扫描 |
scan.sh | bash脚本 | 端口扫描、暴力破解攻击、横向移动 |
xms | bash脚本 | 载荷投递、通过证书横向移动、植入持久化、杀竞品及安全软件、下载并运用挖矿软件 |
d.py/dd.py | python脚本 | 载荷投递、植入持久化 |
go | 二进制程序 | 执行挖矿程序 |
dbusex | 二进制程序 | 挖矿程序 |
b.py | python脚本 | 载荷投递 |
x64b/x32b | 二进制程序 | DDOS攻击、SYN flood、UDP flood、中控 |
如果是windows机器,则执行如下命令:
givemexyz家族Windows版本的攻击流程如下:
攻击流程中涉及的恶意文件功能:
文件名 | 文件类型 | 文件功能 |
---|---|---|
xms.ps1 | powershell脚本 | 载荷投递 |
xmr32.exe/xmr64.exe | 二进制程序 | 挖矿程序 |
mywindows.exe | 二进制程序 | 挖矿程序 |
r.vbs | vbs脚本 | 载荷投递、植入持久化 |
nazi.exe | 二进制程序 | 挖矿程序、植入持久化 |
cudas.exe | 二进制程序 | 挖矿程序 |
以便客户可以清理此蠕虫家族的持久化,我们着重分析下givemexyz家族的持久化方式。
givemexyz家族的Linux版本通过恶意脚本植入定时任务、自启动项以及后门程序进行持久化控制。
受此蠕虫危害的机器,可以根据植入持久化的位置进行自排查以及清理。
同时该蠕虫还会使用python下载恶意的后门程序。
文件名 | MD5 | 二进制功能 |
---|---|---|
/tmp/x64b、/tmp/x32b | c4d44eed4916675dd408ff0b3562fb1f | DDOS攻击、SYN flood、UDP flood、中控 |
windows版本的持久化方式则是:
1.通过释放快捷方式到自启动文件夹持久化:
释放启动快捷方式使用的是启动vbs脚本, 该脚本如下:
2.向注册表写入启动项的方式用于持久化:
样本会将自身程序路径加入到注册表启动列表,并将名称伪装成正常的oracle进程。
同时为了躲避隐藏,样本会启动正常系统白进程当做傀儡进程,执行自身的恶意代码,用于躲避恶意检测。
如果用户发现自身系统正常进程cpu使用率飙升,那么可以怀疑是否是样本使用正常系统进程做外壳用于挖矿。
通过对恶意文件的分析以及中控域名/IP的关联,可以将此次事件和StartMiner(8220挖矿家族)关联起来。除此之外,在原有的基础上于2021-01-28 03:28:41分增加了对windows系统的挖矿。因使用的中控域名都含有givemexyz字眼,所以我们将该家族命名为givemexyz。
我们根据givemexyz家族域名/IP等IOC的变换周期、受影响范围等因素计算了该家族的活跃系数。可以看出该家族在2019年下半年开始活跃,并且从2020年下半年开始有爆发的趋势。该蠕虫不针对具体行业进行攻击,而是无差别利用漏洞进行横向移动。
阿里云安全中心,为客户提供企业级别的全方位应急响应能力。
威胁检测
250+ 威胁检测模型为客户提供全链路的威胁检测能力,我们之一时间对蠕虫使用的变种恶意脚本、恶意程序、持久化进行捕获检测。
蠕虫家族使用的web漏洞、中间件漏洞进行检测:
蠕虫使用的bash、python、powershell等批量攻击脚本进行检测:
蠕虫使用的挖矿程序、后门程序进行检测:
防御阻断
云安全中心不仅对入侵事件进行全方位的检测,同时我们还提供事前的防御拦截能力。从主机层面对恶意 *** 连接、暴力破解攻击、恶意DNS连接、恶意命令进行阻断。
一键清理
对蠕虫家族使用的持久化技术,云安全中心提供闭环能力,可以对其一键处理。
givemexyz家族此次活跃IOC如下:
IOC |
---|
http://209[.]141[.]40[.]190/xms.ps1 |
http://209[.]141[.]40[.]190/xms |
http://209[.]141[.]40[.]190/scan.sh |
http://39[.]96[.]117[.]48/x64 |
http://39[.]96[.]117[.]48/x32b |
http://209[.]141[.]40[.]190/ee.py |
http://209[.]141[.]40[.]190/hxx |
http://209[.]141[.]40[.]190/ps |
http://209[.]141[.]40[.]190/scan |
http://209[.]141[.]40[.]190/d.py |
http://194[.]5[.]249[.]238/x86_64 |
http://194[.]5[.]249[.]238/i686 |
http://194[.]5[.]249[.]238/go |
http://bash[.]givemexyz[.]in/dd.py |
http://194[.]5[.]249[.]238/d.py |
http://209[.]141[.]40[.]190/xmr32.exe |
http://209[.]141[.]40[.]190/xmr64.exe |
http://209[.]141[.]40[.]190/mywindows.exe |
http://209[.]141[.]40[.]190/nazi.exe |
http://209[.]141[.]40[.]190/cudas.exe |
1.我们开放了部分检测能力(恶意文件检测)至阿里云免费用户,免费用户可以登录云安全中心的控制台查看告警信息,并根据告警信息排查入侵来源并修复漏洞。
2.企业版的用户可以开启防病毒、恶意 *** 行为等防御能力,进行事前阻断。并且可以通过病毒防御功能进行一健体检清理。
本文导读目录: 1、手机里的36o手机卫士怎么防止黑客? 2、手机拦截软件哪个更好 3、手机360卫士能够拦截黑客和病毒吗? 4、手机下载什么杀毒软件好? 5、手机用什么杀毒软件好??...
靠谱的广州商务艺人经纪人赚钱吗? 广州商务艺人经纪人,她们针对自身的商务而言全是十分尽职尽责的,她们会把自身可以获得的一切資源,或是是能想起的一切念头都教授给这种商务,让她们在更各行各业对自身有一个非...
咱们的意图是在CLR中,对运转的办法进行注入、绑架。 比方 function A 调用的时分,实践履行的功用确是 function B。 NBC对Corenumb所反映的状况,敏捷给予了回应。 但到目...
win7怎么激活(怎么激活win7系统操作图解)目前,Windows 7系统仍然受到很多人的喜爱,并且大多数用户是工作组。良好的用户体验通常会赢得人们的青睐。但是在使用过程中,由于系统未激活,我们经常...
想电气互锁 电气控制中互锁主要是为保证电器安全运行而设置的。它主要是由两电器件互相控制而形成互锁的。它实现的手段主要有三个,一个是电气互锁。二是机械互锁,三是电气机械联动互锁。 ▲...
一、 请同学们跟着老师读声母表:a[阿] b[玻] c[雌]d[得]e[鹅]f[佛]g [哥] h [喝]i[衣]j [基]k[科]l[勒]n[讷] o[喔] p[坡]q[欺]r[日]s[思]t[...