Sysrv-hello僵尸網(wǎng)絡(luò)最新版新增的攻擊能力有哪些

本篇內(nèi)容主要講解“Sysrv-hello僵尸網(wǎng)絡(luò)最新版新增的攻擊能力有哪些”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“Sysrv-hello僵尸網(wǎng)絡(luò)最新版新增的攻擊能力有哪些”吧!

一、概述

騰訊安全威脅情報(bào)中心檢測(cè)到Sysrv-hello僵尸網(wǎng)絡(luò)近期十分活躍，該僵尸網(wǎng)絡(luò)具備木馬、后門、蠕蟲等多種惡意軟件的綜合攻擊能力。

Sysrv-hello僵尸網(wǎng)絡(luò)于2020年12月首次披露，騰訊安全曾在今年1月發(fā)現(xiàn)該團(tuán)伙使用Weblogic遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-14882）攻擊傳播，本月該團(tuán)伙再次升級(jí)攻擊手法：新增5種攻擊能力，已觀察到失陷主機(jī)數(shù)量呈上升趨勢(shì)。其入侵方式覆蓋到多數(shù)政企單位常用的Web服務(wù)，危害嚴(yán)重，騰訊安全專家提醒相關(guān)單位安全運(yùn)維人員高度警惕。

Sysrv-hello僵尸網(wǎng)絡(luò)攻擊目標(biāo)同時(shí)覆蓋Linux和Windows操作系統(tǒng)，最終利用失陷主機(jī)挖礦，會(huì)大量消耗主機(jī)CPU資源，嚴(yán)重影響主機(jī)正常服務(wù)運(yùn)行，該僵尸網(wǎng)絡(luò)還會(huì)利用已失陷主機(jī)繼續(xù)掃描攻擊其他目標(biāo)。騰訊安全全系列產(chǎn)品已支持對(duì)Sysrv-hello僵尸網(wǎng)絡(luò)各個(gè)環(huán)節(jié)的攻擊傳播活動(dòng)進(jìn)行檢測(cè)防御。

排查&加固

騰訊安全專家建議安全運(yùn)維人員排查以下條目，以判斷系統(tǒng)是否受到損害。

文件：

/tmp/sysrv*

/tmp/隨機(jī)目錄/kthreaddi

進(jìn)程：

sysrv*

kthreaddi

定時(shí)任務(wù)：

下拉執(zhí)行(hxxp://xx.xx.x.x/ldr.sh)的風(fēng)險(xiǎn)crontab項(xiàng)

建議加固以下項(xiàng)目，以消除風(fēng)險(xiǎn)：

Jupyter、WordPress、Jenkins、Redis等服務(wù)組件配置強(qiáng)密碼；

非必須的情況下，不對(duì)外開放redis端口。必須開放時(shí)，應(yīng)配置相應(yīng)的訪問控制策略；

升級(jí)Apache Solr組件至最新版本，以消除漏洞影響。

二、樣本分析

分析樣本后發(fā)現(xiàn)，Sysrv-hello僵尸網(wǎng)絡(luò)木馬當(dāng)前版本代碼結(jié)構(gòu)相對(duì)以往版本變化較大，樣本行為層除增加端口反調(diào)試、使用的基礎(chǔ)設(shè)施更新之外。其入侵方式也增加了5種，除去之前使用的Mysql爆破，Tomcat爆破，Weblogic漏洞利用，Nexus弱口令命令執(zhí)行漏洞利用外。新增以下5種組件的入侵攻擊。

1.Jupyter弱口令爆破入侵；

2.WordPress 弱口令爆破入侵；

3.Jenkins弱口令爆破入侵；

4.Redis未授權(quán)寫計(jì)劃任務(wù)入侵；

5.Apache Solr命令執(zhí)行漏洞入侵（CVE_2019_0193）。

保留了前一版本的hello_src_exp組合攻擊：

入侵成功后植入shell腳本執(zhí)行惡意命令，腳本進(jìn)一步拉取sysrv蠕蟲擴(kuò)散模塊，分析過(guò)程種捕獲到兩個(gè)惡意文件托管地址，hxxp://finalshell.nl，hxxp://45.145.185.85，對(duì)應(yīng)sysrv蠕蟲模塊分別命名為sysrv002，sysrv003，可見該蠕蟲更新頻繁。

分析版本sysrv蠕蟲啟動(dòng)后會(huì)對(duì)端口進(jìn)行隨機(jī)掃描，ip隨機(jī)生成，隨機(jī)從9個(gè)準(zhǔn)備好的目標(biāo)端口內(nèi)選擇一個(gè)進(jìn)行掃描探測(cè)，確認(rèn)目標(biāo)開放服務(wù)，確認(rèn)攻擊方式。單次掃描循環(huán)單位為5分鐘。

掃描端口信息如下

對(duì)sysrv蠕蟲隨機(jī)目標(biāo)掃描代碼進(jìn)行相關(guān)patch后可進(jìn)一步方便觀察其單次攻擊流程

新版本病毒，相比之前的版本增加了5種組件的攻擊方式，主要有以下部分：

Jupyter弱口令爆破入侵

Jupyter Notebook是一個(gè)交互式筆記本，支持運(yùn)行 40 多種編程語(yǔ)言。本質(zhì)是一個(gè) Web 應(yīng)用程序，便于創(chuàng)建和共享文學(xué)化程序文檔，支持實(shí)時(shí)代碼，數(shù)學(xué)方程，可視化。當(dāng)管理員未為Jupyter Notebook配置密碼，或者配置了弱密碼時(shí)，將導(dǎo)致未授權(quán)訪問漏洞。攻擊者即有機(jī)會(huì)登錄其管理界面，進(jìn)而創(chuàng)建console執(zhí)行任意代碼。

Jupyter Notebook登錄管理界面

點(diǎn)擊terminal創(chuàng)建console可執(zhí)行任意代碼

sysrv感染過(guò)程對(duì)目標(biāo)進(jìn)行Jupyter登錄頁(yè)面探測(cè)

查詢其登錄接口嘗試弱密碼組包登錄Jupyter管理后臺(tái)

攻擊過(guò)程種使用到的部分弱密碼

登錄成功后調(diào)用管理面板terminals接口執(zhí)行命令入侵服務(wù)器執(zhí)行惡意腳本

下圖為Jupyter組件被入侵成功后，被植入了sysrv003蠕蟲模塊

Apache Solr命令執(zhí)行漏洞 入侵（CVE_2019_0193）

Apache Solr 是一個(gè)開源的搜索服務(wù)器。Solr 使用 Java 語(yǔ)言開發(fā)，主要基于 HTTP 和 Apache Lucene 實(shí)現(xiàn)，2019年8月1日，Apache Solr官方發(fā)布了CVE-2019-0193漏洞預(yù)警，漏洞危害評(píng)級(jí)為嚴(yán)重。病毒利用該方式對(duì)服務(wù)器進(jìn)行入侵，植入惡意腳本執(zhí)行惡意代碼。

WordPress 弱口令爆破入侵

WordPress是一款快速建立出色網(wǎng)站、博客或應(yīng)用的開源軟件系統(tǒng)，當(dāng)WordPress 管理員口令設(shè)置得過(guò)于簡(jiǎn)單，攻擊者則有機(jī)會(huì)暴力破解并登錄到系統(tǒng)，進(jìn)一步入侵主機(jī)。攻擊者對(duì)xmlrpc.php接口進(jìn)行暴力破解，進(jìn)一步繞過(guò)WordPress安全限制，最終通過(guò)修改主題或上傳插件的方式進(jìn)一步植入惡意代碼。

Jenkins弱口令爆破入侵

Jenkins面板中用戶可以選擇執(zhí)行腳本界面來(lái)操作一些系統(tǒng)命令，攻擊者可通過(guò)未授權(quán)訪問漏洞或者暴力破解用戶密碼等進(jìn)腳本執(zhí)行界面從而獲取服務(wù)器權(quán)限。

攻擊過(guò)程使用到的部分弱口令

Redis未授權(quán)寫計(jì)劃任務(wù)入侵

Redis在默認(rèn)情況會(huì)將服務(wù)綁定在0.0.0.0:6379上，從而將服務(wù)暴露在公網(wǎng)環(huán)境下，如果在沒有開啟安全認(rèn)證的情況下，可以導(dǎo)致任意用戶未授權(quán)訪問Redis服務(wù)器并Redis進(jìn)行讀寫操作，病毒通過(guò)漏洞利用寫入計(jì)劃任務(wù)進(jìn)一步實(shí)現(xiàn)入侵。

kthreaddi挖礦

病毒當(dāng)前投遞最終載荷依然為挖礦木馬，sysrv模塊會(huì)在其Guard守護(hù)流程內(nèi)對(duì)挖礦進(jìn)程做保護(hù)，當(dāng)kthreaddi進(jìn)程不存在，則釋放礦機(jī)到tmp目錄下的隨機(jī)目錄內(nèi)，并將其運(yùn)行，隨后會(huì)將本地礦機(jī)文件進(jìn)行刪除。

釋放礦機(jī)到\tmp目錄下的隨機(jī)文件夾內(nèi)，命名為kthreaddi，并將其進(jìn)行刪除

礦機(jī)將對(duì)機(jī)器資源進(jìn)行高占用，礦機(jī)依然為XMR類型，進(jìn)行門羅幣挖礦。

三、威脅視角看攻擊行為

到此，相信大家對(duì)“Sysrv-hello僵尸網(wǎng)絡(luò)最新版新增的攻擊能力有哪些”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！