利用服务器漏洞挖矿黑产案例分析

简述

BAT意味着了利用互联网技术发家致富的光彩照人一面，与之相应的阴暗面的黑产也会可循自身的想像力来利润最大化自身的盈利，在这方面黑产可以说八仙过海，各显其能。有盗取数据信息出售完成经济独立的，立即停手的落个这一生吃吃喝喝不愁，得寸进尺的在最近日益严格的影响下最终吃完牢饭。除开在信息上打主意，大家见到也是有根据压榨机器设备计算水平发一些小财的，最近，超级天眼试验室追踪了一些根据利用这种NDay漏洞进攻服务器获得操纵自动化技术嵌入挖矿木马病毒的犯罪团伙，给我们剖析一个实际的实例。

期待此次的小小的曝光能造成一些管理人员的警觉，检查一下自身的服务器是不是存有漏洞，消除已经普遍存在于产品中的恶意程序（假如存有漏洞几乎可以毫无疑问已经被侵入操纵），确保数据信息和服務的安全性。

根据Java的Web运用服务器以前有过好多个十分实用的远程连接命令实行漏洞，例如下列这两个：

CVE-2015-7450

IBM WebSphere Java Comments Collections部件反序列化漏洞

CVE-2015-4852

Oracle WebLogic Server Java反序列化漏洞

漏洞关键点就没有在这里剖析了。虽然关键技术和利用专用工具已经公布了大概2年，但现阶段网络上还普遍存在着大量的有这种漏洞的Web服务器，而这些服务器终究会沦落网络攻击的猎食。对于被控制后的设备会给用于干什么彻底就取决于网络攻击的意向，有数据信息的肯定会被盗取贩卖，除此之外，服务器一般都是很好的系统配置，大量的储存、快速的CPU和数据连接，而如今BTC的价钱处在相对性的低位，拿服务器来挖矿充足利用其计算水平也算黑产一鸡多吃惠及自身的方式。

实例

黑产扫描仪IP段发觉对外开放特殊的端口号的服务器，确定存有漏洞的Web运用服务器，利用漏洞操纵服务器后免费下载一张包括挖矿木马程序的照片，分析实行，将服务器变化为一台挖矿的肉食鸡。

样版来自大家搭建的蜜獾，服务器对外开放了WebLogic服务，http://xxx.xx.xx.xxx:7001/ ：

日志剖析表明网络攻击利用了存有于WebLogic运用服务器中的Java反序列化漏洞攻克了该服务器。得到操纵之后，网络攻击最先实行一个了脚本制作，该脚本用以免费下载实行一个名叫regedit.exe程序流程，此程序会启用powershell.exe去实行如下所示的powershell脚本制作：

powershell编码如下图所示：

脚本制作最先会去开源系统的网址去下载神器程序流程dd.exe，用它来写文档，针对大部分主防杀毒软件来讲，dd.exe会被标识为白文档，因而应用该软件可以绕开一部分检验实际操作，下面的图为dd.exe的详细介绍：

脚本制作还会继续去https://ooo.0o0.ooo/2017/01/22/58842a764d484.jpg 去免费下载一张jpg图片：

而https://ooo.0o0.ooo/ 这一平台自身是一个host，可以为客户发布的文档给予外部链接详细地址：

网址的页面如下图，提交的最高的文档限定为5MB：

免费下载回家的图片尺寸为1.44M，这自然不仅一张图片：

剖析发觉，该照片偏位0xd82（3458）处逐渐为一个PE文档：

最终脚本制作启用dd.exe把照片中的PE文档获取出去，并定名为msupdate.exe：dd.exe if=favicon.jpg of=msupdate.exe skip=3458 bs=1 。

提取出来的PE是个自压缩包；

运作缓解压力后会去实行msupdate.exe：

msupdata.exe本身或是个自压缩包：

注解为一个命令行参数，是挖矿软件和比特币钱包详细地址：

如下所示包括自缓解压力脚本制作指令：

最后，缓解压力出一个挖矿程序流程，并以以前的挖矿软件和比特币钱包详细地址运行该挖矿程序流程：

全部进攻步骤如下所示：

此外大家还发觉一种脚本制作：

利用WebLogic漏洞去免费下载如下所示连接的powershell脚本制作：

脚本具体内容如下图：

它会免费下载yam.exe，随后把该脚本制作加上任务计划每6个钟头运作一次该脚本制作，保证恶意程序长期性在服务器中运作。

免费下载下来的exe文件的超链接是：

免费下载下来的文档如下图：

下面的图是破壳后的字符串数组，可以看出是挖矿的编码：

影响面剖析

依据剖析获得的互联网特点开展配对，精准定位到近期一个月被该类恶意程序感柒的设备超出20000台，对挖矿工作中而言组成甚为丰厚的算率。对IP由来做统计分析发觉95%以上的全是我国的，体现出中国服务器安全工作还任重道远：

按我国的省市遍布看，黑龙江省、湖北省、河南省、广东省、四川是高发区：

总结

黑产针对权益的追求始终无止境，他们会”充足”压榨能够取得的一切网络资源的使用价值，保证”用其所长”，大家需要采用一切需要的举措来保护自己，决不很有可能心存侥幸于对方的懒散。

IOC

URL

http://txrdr.com/sitecontent/WIN-WEB.jpg

https://ooo.0o0.ooo/2017/01/22/58842a764d484.jpg

http://45.33.56.197:43110/19pdroifAf1QR84u1yoG7J1ASwmc9r32nU/images/miner.ps1

http://45.33.56.197:43110/19pdroifAf1QR84u1yoG7J1ASwmc9r32nU/images/yam.exe

文件夹名称

WIN-WEB.jpg

rsyslog.exe

挖矿的登录名

1140***588@qq.com

szt***885@163.com

att***65@163.com

ca***577@gmail.com

a4***7226@qq.com

y5***52@qq.com

nan***lsia@yandex.ru