一、前言
近日,騰訊安全雲鼎實驗室監測到大量主機被入侵併添加了一個名為“vusr_dx$”的隱藏帳號;同時,雲鼎實驗室還監測到此類帳號被大量創建的同時存在對應帳號異地登錄的情況。
Windows 的帳號名稱後帶著“$”符號時,不會在 net user 命令中顯示出帳號信息,是攻擊者常用的一種隱藏帳號的方法,一般開發者不會添加這種類型的帳號。雲鼎實驗室對該事件進行跟蹤分析,還原了攻擊者的入侵手法、入侵後的操作。
二、入侵手法分析
通過對所有被入侵併添加“vusr_dx$”隱藏帳號的主機進行分析統計,發現大多數主機都安裝了phpStudy 組件,Web 目錄存在 phpinfo 和phpMyAdmin,且 MySQL 的 root 用戶有 50% 為弱口令。由此可以推斷可能導致入侵的原因:
用戶在自己雲主機通過 phpStudy 一鍵部署 PHP 環境,默認情況下包含 phpinfo 及 phpMyAdmin 並且任何人都可以訪問,同時安裝的 MySQL 默認口令為弱口令,於是黑客通過 phpMyAdmin 使用弱口令登錄 MySQL,接著利用 MySQL 的一些手段獲取到系統權限。
常見利用 MySQL 獲取系統權限一般有如下幾個方式:
- 利用 SELECT "" INTO OUTFILE '/path/to/webroot' 語句、或者 general_log 向 Web 目錄寫入一個 Webshell。由於 phpStudy 的一些原因,其 PHP 進程執行命令後是一個非常高權限的用戶(通常為管理員用戶或者是 SYSTEM 權限)。
- 利用 MySQL UDF 來進行命令執行。通常利用 UDF 來執行命令的情況有 PHP 低權限但是 MySQL 是高權限的情況,或者是 PHP 用 disable_functions 限制了調用系統命令執行的方式,所以利用 UDF 來繞過 disable_functions。
這兩種手法攻擊者都有可能使用,由於攻擊者是大批量、持續不斷的進行入侵操作,可以推斷出攻擊者必然是使用了腳本來進行攻擊的。
圖 1. 攻擊者每日成功入侵的機器數量曲線
通過進一步分析調查發現,最終確認攻擊者的攻擊手法為利用 MySQL 弱口令登錄後,修改 general_log 指向 Web 目錄下的 sheep.php 的文件,然後利用 shell 創建帳號。下表是 general_log 中時間和帳號創建時間的對應關係,佐證了攻擊者的攻擊手法。
攻擊者使用的 SQL 語句如下圖所示:
圖2. 攻擊者使用的 SQL 語句payload
圖3. sheep.php文件內容
可見,攻擊者是針對性的對於 phpStudy 進行攻擊。由於 phpStudy 默認安裝的 MySQL 密碼為 root / root,且開啟在外網 3306 端口,在未設置安全組,或者安全組為放通全端口的情況下,極易受到攻擊。
攻擊者在創建完帳戶後,會將挖礦木馬上傳到路徑 C:\ProgramData\Zational\Zational.exe(MD5:cb6f37e76dd233256f1c3303b4e99b1c)並運行。該文件是一個門羅幣挖礦程序, Github 地址為:https://github.com/xmrig/xmrig。
圖4. 挖礦進程
三、入侵溯源
黑客在創建了隱藏帳號之後會通過隱藏帳號登錄並植入挖礦程序,通過騰訊云云鏡捕獲的“vusr_dx$”帳號異常登錄行為進行來源 IP 歸類統計,得到將近60個 IP 地址,包含除了來自於不同IDC 的 IP,還有部分來自江蘇鹽城疑似黑客真實 IP:
圖5. 部分異常登錄來源IP
初步可以懷疑這批是黑客所控制肉雞甚至可能包含有黑客真實 IP,進一步針對這些 IP 進行信息收集分析,發現 `103.214.*.*` 存在 phpMyAdmin,同時 MySQL 也存在弱口令,且攻擊者在 Web 目錄下留下了後門,當即猜測這是攻擊者的一臺跳板機。進一步分析,獲得了黑客的後門帳號 vusr_dx$ 的密碼:admin@6********。
進一步針對對於挖礦木馬行為進行分析後,發現此木馬會連接到域名為gowel.top(IP:202.168.150.44)的代理礦池,由於相關配置沒有指定專用礦池用戶 token 或者用戶名,可以認為這是一個私有的礦池地址,同時我們發現, hxxp://gowel.top:80/ 是一個 HFS,裡面有我們獲取到的挖礦木馬文件。
圖6. 該域名80端口HFS截圖
由於該域名whois 信息是域名註冊商而非黑客本身,無法通過 whois 獲取註冊者相關信息。
進一步通過遍歷異常登錄來源 IP 查詢黑客畫像數據,最終發現一個關聯 QQ 信息可能為黑客 QQ,QQ 號為12*********,通過搜索引擎搜索該 QQ 號也能證明該 QQ 號主人在進行一些可能的黑客行為:
圖7. 對應QQ號搜索引擎查詢結果
查詢對應QQ資料:
圖8. 對應QQ號資料卡
四、解決方案
針對此類攻擊,通用的解決方案如下:
1. 在騰訊雲控制檯設置 CVM 的安全組,儘量不要選用放通全端口,而是針對性的設置需要外網訪問的端口,比如HTTP 的默認端口 80、RDP 的默認端口 3389;
2. 對於 phpStudy 這種集成環境,在安裝結束後應修改 MySQL 密碼為強密碼,不要使用 root / root 或者 root / 123456 等弱口令;
3. 可以選擇安裝騰訊云云鏡,雲鏡的主機漏洞檢測功能支持支持 Windows 隱藏帳戶檢測、MySQL 弱口令檢測等漏洞檢測,同時也支持黑客植入的 Webshell 檢測。
圖9. 雲鏡對於受攻擊主機的漏洞掃描報警
五、IOCs
MD5:cb6f37e76dd233256f1c3303b4e99b1c
礦池地址:hxxp://gowel.top:11588
本文作者: 雲鼎實驗室,轉載自:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=47215&highlight=%E6%BA%AF%E6%BA%90
閱讀更多 Whitezero 的文章
