行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
挖矿木马VsphereMiner盯上VMware虚拟机
2022-03-17 14:33:35 【

    0x01   概述

    VMware vSphere是VMware公司推出的一整套虚拟化解决方案,可以十分方便地创建与管理虚拟机和虚拟设备。近日360安全大脑监测到一款针对VMware vSphere虚拟化平台的挖矿木马,将其命名为VsphereMiner。此挖矿木马会在入侵虚拟机后下载xmrig挖矿程序进行牟利,使用rootkit技术隐藏自身行为,同时借助SSH连接实现横向移动传播。

    

    0x02   技术分析

    以样本1eaf3aa14facd17930588641e5513c43为例,该样本为VsphereMiner的前置脚本,主要功能包括:下载挖矿木马其余模块、往VMware vSphere服务添加木马启动项、清除竞争对手、SSH横向移动等。

    (1) 下载挖矿木马

    脚本会从C&C下载挖矿木马的其余模块:

    

    其中的libp.so为一款用户态rootkit,通过/etc/ld.so.preload的方式实现预加载,主要功能为hook了readdir、readdir64系统函数,隐藏掉包含关键词”crosbow”的进程信息,也即木马的javac和ann.jpg模块,下文将分别介绍。

    

    javac为自行编译的开源挖矿程序XMRig,版本为6.15.2,实现挖矿功能:

    

    config2.json和config3.json为xmrig挖矿配置文件,其中包含了矿池、用户名、密码等信息:

    

    ann.jpg和xxx.sh为两个恶意shell脚本,功能分别为清理CPU占用超过40%的进程、清除竞争对手。

    postgresql.py推测可能与PostgreSQL数据库的攻击流程相关,其主要功能为执行vshrederrun可执行文件与postgres.sh恶意脚本。从上文可以看出,vshrederrun为挖矿木马保存到本地的javac模块,postgres.sh则为木马保存到本地的xxx.sh脚本。

    

    (2) 往VMware添加木马启动项

    脚本在进行一系列环境准备工作,包括设置SELinux为permissive模式、ulimit命令设置最大进程数为50000、设置vm.nr_hugepages大内存页以优化内存性能之后,会尝试修改VMware vSphere本地service文件,往其中添加挖矿木马的恶意启动项:

    

    值得注意的是,此处与关联到的更早版本的前置脚本330426474f22394649ffd699fe096337对比后可以发现,图中显示出了木马作者的一处错误:旧版本中挖矿木马的javac和ann.jpg模块下载的本地路径分别为/usr/bin/evactrim以及/usr/lib/evactrim,在新版本中则更新为了/usr/bin/crosbow、/usr/lib/crosbow,而添加的ExecStart恶意启动项却仍然沿用的是旧版本中的文件路径。

    如图中所示,vsphereui.service文件遭到篡改,添加了”/usr/bin/evactrim –config=/usr/bin/config.json”的恶意ExecStart启动项,即带参数的xmrig矿机运行命令;vsphere.service文件被篡改,添加了”/bin/sh /usr/lib/evactrim”的恶意ExecStart启动项,即vsphere进程启动时自动执行木马的ann.jpg恶意脚本。

    (3) 清除竞争对手

    木马通过杀死进程、删除文件等方式清理kinsing、dbused、sysupdate等知名木马家族,以及CPU占用超过40%的进程,为自身独占设备资源进行挖矿腾出空间:

    

    (4) SSH横向移动

    从/.ssh/config、.bash_history、/.ssh/known_hosts等文件中搜索已保存的SSH凭证,建立SSH连接后从C&C下载前置脚本cow.jpg并执行,最终实现前置脚本的横向传播:

    

    截至目前,VsphereMiner挖矿木马的算力和收益如下图所示:

    

    

    0x03   总结

    随着数字经济的不断发展,产业数字化转型驱动企业“上云用数赋智”,作为云计算基础架构核心的虚拟化技术也得到较快发展。VMware作为虚拟化市场的领导者,其客户遍布众多基础设施行业。尽管Linux系统与虚拟化环境一直被认为具有较高的安全性,但近年来在利益驱使下仍旧促使相关攻击事件屡有发生。事实上自2021年初以来,就有越来越多的勒索团伙开始发布针对vSphere虚拟化平台的加密软件,这其中包括了臭名昭著的DarkSide、RansomExx、REvil、HelloKitty、BlackMatter等一众老牌或新兴勒索病毒家族。

    VsphereMiner作为首次出现的针对VMware虚拟机平台的挖矿木马,攻击流程尚比较简单,所有恶意模块均由固定C&C服务器下发,挖矿行为也使用的是xmrig矿机 + config.json默认配置文件 + 公共矿池的常见做法。攻击目标的选择上罕见地瞄准了其余竞品暂未涉足的VMware vSphere虚拟化平台,给企业/组织业务生产带来严重威胁。

    从去年众多勒索病毒纷纷选择VMware vSphere作为新型攻击目标的趋势来看,预计未来针对虚拟化平台的挖矿事件可能会有所增加。

    

    0x04   IOC:

    URL:

    http://93.95.227.[xx]/cow.jpg

    http://93.95.227.[xx]/hoo7.jpg

    http://93.95.227.[xx]/libp.so

    http://93.95.227.[xx]/javac

    http://93.95.227.[xx]/config2.json

    http://93.95.227.[xx]/config3.json

    http://93.95.227.[xx]/ann.jpg

    http://93.95.227.[xx]/postgresql.py

    http://93.95.227.[xx]/xxx.sh

    MD5:

    
        
            
                MD5             
            
                文件名             
            
                类型             
            
                描述             
        
        
                             1eaf3aa14facd17930588641e5513c43             
            
                cow.jpg             
            
                shell             
            
                前置恶意脚本             
        
        
                             330426474f22394649ffd699fe096337             
            
                hoo7.jpg             
            
                shell             
            
                前置恶意脚本(旧版本)             
        
        
                             b1bb432add366d2170ed1c83fb6cfdaa             
            
                libp.so             
            
                elf             
            
                rootkit             
        
        
                             00188edae2d6dae3dcd23e790da01f60             
            
                javac             
            
                elf             
            
                xmrig             
        
        
                             95be2401eb52d5b5b4a1588246d71746             
            
                config2.json             
            
                json             
            
                xmrig配置文件             
        
        
                             0e1f3dd908aa33b786e641d25474fa8c             
            
                config3.json             
            
                json             
            
                xmrig配置文件             
        
        
                             c4c13f2b630bf3587468b00e5e058dfc             
            
                ann.jpg             
            
                shell             
            
                恶意脚本             
        
        
                             88181b2a6fa0098cc49d701aae298318             
            
                postgresql.py             
            
                python             
            
                恶意py             
        
        
                             358094a872c0cc5fc7304c07dcb4050a             
            
                xxx.sh             
            
                shell             
            
                恶意脚本             
        
    

    矿池:

    gulf.moneroocean.stream:443

    钱包地址:

    87ftP3g5Aa8BVWvfi4NQpSiSw4qYNvQm1CpUK2YpGxBoTwUA2S2GUE1NsiKUGP9pBrB6RDrKWTLKz11bXK5fsGhBSNMsUx9s

    

    0x05   产品侧解决方案

    若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

    

    0x06   时间线

    2022-02-21 360高级威胁分析中心发布通告

    

】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇金融行业网络威胁研究专题报告 下一篇从“NOPEN”远控木马浮出水面看美..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800