黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿_区块链:RAM

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

广州工信局公示2019年区块链应用示范场景优秀案例:为大力推动广州市区块链关键技术先导应用、区块链与云计算、大数据、人工智能等技术创新融合，深化区块链与实体经济融合应用，广州市工业和信息化局认真组织并实施了案例征集和专家评审工作，遴选一批区块链优秀应用示范项目，包括：基于大数据和区块链的食药品溯源系统应用示范、航运集装箱物流智能单证处理和“数字知识产权平台”等，共有15家企业入选2019年广州市区块链应用示范场景优秀案例予以公示。公示期为2020年4月28日至5月7日。[2020/4/28]

3389爆破工具NLBrute1.2

动态 | 2018年IOTA被盗事件攻击者被抓 为iotaseed.io所有者:据慢雾区消息，2018年IOTA被盗事件攻击者已被抓获，为iotaseed.io所有者。案件持续一年，目前公布的消息显示，IOTA事件受害者 85人，损失不止400万美元，而纠正为1140万美元。2018年1月22日消息，黑客入侵IOTA钱包种子生成网站，盗走400万美元。[2019/1/24]

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

声音 | 洪蜀宁：2019将会是公链开始成熟落地的一年:金丘区块链研究院院长洪蜀宁发微博表示， 和联盟链一样，中心化交易所、稳定币、STO都是妥协和倒退，作为公链技术暂时不成熟时的过渡，注定不会长久。2019将会是公链结束婴儿期，开始成熟落地的一年。[2018/12/29]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

矿池：xmr.f2pool.com:13531

钱包：

现场 | 中国科学院大学教授：预计2019年为平台类项目主网上线集中期:金色财经现场报道，在今日于国家会议中心举行的2018区块链发展生态峰会上，中国科学院教授吕本富在演讲中表示：公链平台主要定位为区块链操作系统，平台类项目赛道竞争主要体现在技术方案设计和开发进展两个维度，技术方案设计方面具体项目侧重不同，在开发进展方面，平台类项目主网上线周期平均为10.2个月，预计2019年Q1将是平台类项目主网上线集中期。[2018/7/19]

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。