0x01 概述
VMware vSphere是VMware公司推出的一整套虛擬化解決方案���,可以十分方便地創(chuàng)建與管理虛擬機(jī)和虛擬設(shè)備。近日360安全大腦監(jiān)測(cè)到一款針對(duì)VMware vSphere虛擬化平臺(tái)的挖礦木馬����,將其命名為VsphereMiner。此挖礦木馬會(huì)在入侵虛擬機(jī)后下載xmrig挖礦程序進(jìn)行牟利����,使用rootkit技術(shù)隱藏自身行為,同時(shí)借助SSH連接實(shí)現(xiàn)橫向移動(dòng)傳播����。
0x02 技術(shù)分析
以樣本1eaf3aa14facd17930588641e5513c43為例,該樣本為VsphereMiner的前置腳本�,主要功能包括:下載挖礦木馬其余模塊、往VMware vSphere服務(wù)添加木馬啟動(dòng)項(xiàng)��、清除競(jìng)爭(zhēng)對(duì)手����、SSH橫向移動(dòng)等�。
(1) 下載挖礦木馬
腳本會(huì)從C&C下載挖礦木馬的其余模塊:
其中的libp.so為一款用戶態(tài)rootkit�����,通過/etc/ld.so.preload的方式實(shí)現(xiàn)預(yù)加載�����,主要功能為hook了readdir�����、readdir64系統(tǒng)函數(shù)����,隱藏掉包含關(guān)鍵詞”crosbow”的進(jìn)程信息��,也即木馬的javac和ann.jpg模塊��,下文將分別介紹。
javac為自行編譯的開源挖礦程序XMRig,版本為6.15.2�,實(shí)現(xiàn)挖礦功能:
config2.json和config3.json為xmrig挖礦配置文件,其中包含了礦池��、用戶名��、密碼等信息:
ann.jpg和xxx.sh為兩個(gè)惡意shell腳本�,功能分別為清理CPU占用超過40%的進(jìn)程、清除競(jìng)爭(zhēng)對(duì)手�。
postgresql.py推測(cè)可能與PostgreSQL數(shù)據(jù)庫(kù)的攻擊流程相關(guān),其主要功能為執(zhí)行vshrederrun可執(zhí)行文件與postgres.sh惡意腳本�。從上文可以看出,vshrederrun為挖礦木馬保存到本地的javac模塊���,postgres.sh則為木馬保存到本地的xxx.sh腳本�����。
(2) 往VMware添加木馬啟動(dòng)項(xiàng)
腳本在進(jìn)行一系列環(huán)境準(zhǔn)備工作���,包括設(shè)置SELinux為permissive模式、ulimit命令設(shè)置最大進(jìn)程數(shù)為50000���、設(shè)置vm.nr_hugepages大內(nèi)存頁(yè)以優(yōu)化內(nèi)存性能之后����,會(huì)嘗試修改VMware vSphere本地service文件�,往其中添加挖礦木馬的惡意啟動(dòng)項(xiàng):
值得注意的是�,此處與關(guān)聯(lián)到的更早版本的前置腳本330426474f22394649ffd699fe096337對(duì)比后可以發(fā)現(xiàn)�����,圖中顯示出了木馬作者的一處錯(cuò)誤:舊版本中挖礦木馬的javac和ann.jpg模塊下載的本地路徑分別為/usr/bin/evactrim以及/usr/lib/evactrim���,在新版本中則更新為了/usr/bin/crosbow�����、/usr/lib/crosbow���,而添加的ExecStart惡意啟動(dòng)項(xiàng)卻仍然沿用的是舊版本中的文件路徑。
如圖中所示���,vsphereui.service文件遭到篡改����,添加了”/usr/bin/evactrim –config=/usr/bin/config.json”的惡意ExecStart啟動(dòng)項(xiàng)�����,即帶參數(shù)的xmrig礦機(jī)運(yùn)行命令�����;vsphere.service文件被篡改����,添加了”/bin/sh /usr/lib/evactrim”的惡意ExecStart啟動(dòng)項(xiàng),即vsphere進(jìn)程啟動(dòng)時(shí)自動(dòng)執(zhí)行木馬的ann.jpg惡意腳本��。
(3) 清除競(jìng)爭(zhēng)對(duì)手
木馬通過殺死進(jìn)程�����、刪除文件等方式清理kinsing���、dbused����、sysupdate等知名木馬家族�,以及CPU占用超過40%的進(jìn)程,為自身獨(dú)占設(shè)備資源進(jìn)行挖礦騰出空間:
(4) SSH橫向移動(dòng)
從/.ssh/config����、.bash_history、/.ssh/known_hosts等文件中搜索已保存的SSH憑證�,建立SSH連接后從C&C下載前置腳本cow.jpg并執(zhí)行��,最終實(shí)現(xiàn)前置腳本的橫向傳播:
截至目前���,VsphereMiner挖礦木馬的算力和收益如下圖所示:
0x03 總結(jié)
隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展,產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型驅(qū)動(dòng)企業(yè)“上云用數(shù)賦智”��,作為云計(jì)算基礎(chǔ)架構(gòu)核心的虛擬化技術(shù)也得到較快發(fā)展�����。VMware作為虛擬化市場(chǎng)的領(lǐng)導(dǎo)者���,其客戶遍布眾多基礎(chǔ)設(shè)施行業(yè)���。盡管Linux系統(tǒng)與虛擬化環(huán)境一直被認(rèn)為具有較高的安全性,但近年來(lái)在利益驅(qū)使下仍舊促使相關(guān)攻擊事件屢有發(fā)生���。事實(shí)上自2021年初以來(lái)����,就有越來(lái)越多的勒索團(tuán)伙開始發(fā)布針對(duì)vSphere虛擬化平臺(tái)的加密軟件����,這其中包括了臭名昭著的DarkSide、RansomExx���、REvil���、HelloKitty、BlackMatter等一眾老牌或新興勒索病毒家族�。
VsphereMiner作為首次出現(xiàn)的針對(duì)VMware虛擬機(jī)平臺(tái)的挖礦木馬,攻擊流程尚比較簡(jiǎn)單�,所有惡意模塊均由固定C&C服務(wù)器下發(fā),挖礦行為也使用的是xmrig礦機(jī) + config.json默認(rèn)配置文件 + 公共礦池的常見做法����。攻擊目標(biāo)的選擇上罕見地瞄準(zhǔn)了其余競(jìng)品暫未涉足的VMware vSphere虛擬化平臺(tái),給企業(yè)/組織業(yè)務(wù)生產(chǎn)帶來(lái)嚴(yán)重威脅�。
從去年眾多勒索病毒紛紛選擇VMware vSphere作為新型攻擊目標(biāo)的趨勢(shì)來(lái)看,預(yù)計(jì)未來(lái)針對(duì)虛擬化平臺(tái)的挖礦事件可能會(huì)有所增加�����。
0x04 IOC:
URL:
http://93.95.227.[xx]/cow.jpg
http://93.95.227.[xx]/hoo7.jpg
http://93.95.227.[xx]/libp.so
http://93.95.227.[xx]/javac
http://93.95.227.[xx]/config2.json
http://93.95.227.[xx]/config3.json
http://93.95.227.[xx]/ann.jpg
http://93.95.227.[xx]/postgresql.py
http://93.95.227.[xx]/xxx.sh
MD5:
|
|
|
|
1eaf3aa14facd17930588641e5513c43
|
|
|
330426474f22394649ffd699fe096337
|
|
|
b1bb432add366d2170ed1c83fb6cfdaa
|
|
|
00188edae2d6dae3dcd23e790da01f60
|
|
|
95be2401eb52d5b5b4a1588246d71746
|
|
|
0e1f3dd908aa33b786e641d25474fa8c
|
|
|
c4c13f2b630bf3587468b00e5e058dfc
|
|
|
88181b2a6fa0098cc49d701aae298318
|
|
|
358094a872c0cc5fc7304c07dcb4050a
|
礦池:
gulf.moneroocean.stream:443
錢包地址:
87ftP3g5Aa8BVWvfi4NQpSiSw4qYNvQm1CpUK2YpGxBoTwUA2S2GUE1NsiKUGP9pBrB6RDrKWTLKz11bXK5fsGhBSNMsUx9s
0x05 產(chǎn)品側(cè)解決方案
若想了解更多產(chǎn)品信息或有相關(guān)業(yè)務(wù)需求�����,可移步至http://360.net�����。
0x06 時(shí)間線
2022-02-21 360高級(jí)威脅分析中心發(fā)布通告
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
