国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

    0x01   概述

    VMware vSphere是VMware公司推出的一整套虛擬化解決方案，可以十分方便地創(chuàng)建與管理虛擬機(jī)和虛擬設(shè)備。近日360安全大腦監(jiān)測(cè)到一款針對(duì)VMware vSphere虛擬化平臺(tái)的挖礦木馬，將其命名為VsphereMiner。此挖礦木馬會(huì)在入侵虛擬機(jī)后下載xmrig挖礦程序進(jìn)行牟利，使用rootkit技術(shù)隱藏自身行為，同時(shí)借助SSH連接實(shí)現(xiàn)橫向移動(dòng)傳播。

    0x02   技術(shù)分析

    以樣本1eaf3aa14facd17930588641e5513c43為例，該樣本為VsphereMiner的前置腳本，主要功能包括：下載挖礦木馬其余模塊、往VMware vSphere服務(wù)添加木馬啟動(dòng)項(xiàng)、清除競(jìng)爭(zhēng)對(duì)手、SSH橫向移動(dòng)等。

    (1) 下載挖礦木馬

    腳本會(huì)從C&C下載挖礦木馬的其余模塊：

    其中的libp.so為一款用戶態(tài)rootkit，通過/etc/ld.so.preload的方式實(shí)現(xiàn)預(yù)加載，主要功能為hook了readdir、readdir64系統(tǒng)函數(shù)，隱藏掉包含關(guān)鍵詞”crosbow”的進(jìn)程信息，也即木馬的javac和ann.jpg模塊，下文將分別介紹。

    javac為自行編譯的開源挖礦程序XMRig，版本為6.15.2，實(shí)現(xiàn)挖礦功能：

    config2.json和config3.json為xmrig挖礦配置文件，其中包含了礦池、用戶名、密碼等信息：

    ann.jpg和xxx.sh為兩個(gè)惡意shell腳本，功能分別為清理CPU占用超過40%的進(jìn)程、清除競(jìng)爭(zhēng)對(duì)手。

    postgresql.py推測(cè)可能與PostgreSQL數(shù)據(jù)庫(kù)的攻擊流程相關(guān)，其主要功能為執(zhí)行vshrederrun可執(zhí)行文件與postgres.sh惡意腳本。從上文可以看出，vshrederrun為挖礦木馬保存到本地的javac模塊，postgres.sh則為木馬保存到本地的xxx.sh腳本。

    (2) 往VMware添加木馬啟動(dòng)項(xiàng)

    腳本在進(jìn)行一系列環(huán)境準(zhǔn)備工作，包括設(shè)置SELinux為permissive模式、ulimit命令設(shè)置最大進(jìn)程數(shù)為50000、設(shè)置vm.nr_hugepages大內(nèi)存頁(yè)以優(yōu)化內(nèi)存性能之后，會(huì)嘗試修改VMware vSphere本地service文件，往其中添加挖礦木馬的惡意啟動(dòng)項(xiàng)：

    值得注意的是，此處與關(guān)聯(lián)到的更早版本的前置腳本330426474f22394649ffd699fe096337對(duì)比后可以發(fā)現(xiàn)，圖中顯示出了木馬作者的一處錯(cuò)誤：舊版本中挖礦木馬的javac和ann.jpg模塊下載的本地路徑分別為/usr/bin/evactrim以及/usr/lib/evactrim，在新版本中則更新為了/usr/bin/crosbow、/usr/lib/crosbow，而添加的ExecStart惡意啟動(dòng)項(xiàng)卻仍然沿用的是舊版本中的文件路徑。

    如圖中所示，vsphereui.service文件遭到篡改，添加了”/usr/bin/evactrim –config=/usr/bin/config.json”的惡意ExecStart啟動(dòng)項(xiàng)，即帶參數(shù)的xmrig礦機(jī)運(yùn)行命令；vsphere.service文件被篡改，添加了”/bin/sh /usr/lib/evactrim”的惡意ExecStart啟動(dòng)項(xiàng)，即vsphere進(jìn)程啟動(dòng)時(shí)自動(dòng)執(zhí)行木馬的ann.jpg惡意腳本。

    (3) 清除競(jìng)爭(zhēng)對(duì)手

    木馬通過殺死進(jìn)程、刪除文件等方式清理kinsing、dbused、sysupdate等知名木馬家族，以及CPU占用超過40%的進(jìn)程，為自身獨(dú)占設(shè)備資源進(jìn)行挖礦騰出空間：

    (4) SSH橫向移動(dòng)

    從/.ssh/config、.bash_history、/.ssh/known_hosts等文件中搜索已保存的SSH憑證，建立SSH連接后從C&C下載前置腳本cow.jpg并執(zhí)行，最終實(shí)現(xiàn)前置腳本的橫向傳播：

    截至目前，VsphereMiner挖礦木馬的算力和收益如下圖所示：

    0x03   總結(jié)

    隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展，產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型驅(qū)動(dòng)企業(yè)“上云用數(shù)賦智”，作為云計(jì)算基礎(chǔ)架構(gòu)核心的虛擬化技術(shù)也得到較快發(fā)展。VMware作為虛擬化市場(chǎng)的領(lǐng)導(dǎo)者，其客戶遍布眾多基礎(chǔ)設(shè)施行業(yè)。盡管Linux系統(tǒng)與虛擬化環(huán)境一直被認(rèn)為具有較高的安全性，但近年來(lái)在利益驅(qū)使下仍舊促使相關(guān)攻擊事件屢有發(fā)生。事實(shí)上自2021年初以來(lái)，就有越來(lái)越多的勒索團(tuán)伙開始發(fā)布針對(duì)vSphere虛擬化平臺(tái)的加密軟件，這其中包括了臭名昭著的DarkSide、RansomExx、REvil、HelloKitty、BlackMatter等一眾老牌或新興勒索病毒家族。

    VsphereMiner作為首次出現(xiàn)的針對(duì)VMware虛擬機(jī)平臺(tái)的挖礦木馬，攻擊流程尚比較簡(jiǎn)單，所有惡意模塊均由固定C&C服務(wù)器下發(fā)，挖礦行為也使用的是xmrig礦機(jī) + config.json默認(rèn)配置文件 + 公共礦池的常見做法。攻擊目標(biāo)的選擇上罕見地瞄準(zhǔn)了其余競(jìng)品暫未涉足的VMware vSphere虛擬化平臺(tái)，給企業(yè)/組織業(yè)務(wù)生產(chǎn)帶來(lái)嚴(yán)重威脅。

    從去年眾多勒索病毒紛紛選擇VMware vSphere作為新型攻擊目標(biāo)的趨勢(shì)來(lái)看，預(yù)計(jì)未來(lái)針對(duì)虛擬化平臺(tái)的挖礦事件可能會(huì)有所增加。

    0x04   IOC:

    URL:

    http://93.95.227.[xx]/cow.jpg

    http://93.95.227.[xx]/hoo7.jpg

    http://93.95.227.[xx]/libp.so

    http://93.95.227.[xx]/javac

    http://93.95.227.[xx]/config2.json

    http://93.95.227.[xx]/config3.json

    http://93.95.227.[xx]/ann.jpg

    http://93.95.227.[xx]/postgresql.py

    http://93.95.227.[xx]/xxx.sh

    MD5：

    礦池：

    gulf.moneroocean.stream:443

    錢包地址：

    87ftP3g5Aa8BVWvfi4NQpSiSw4qYNvQm1CpUK2YpGxBoTwUA2S2GUE1NsiKUGP9pBrB6RDrKWTLKz11bXK5fsGhBSNMsUx9s

    0x05   產(chǎn)品側(cè)解決方案

    若想了解更多產(chǎn)品信息或有相關(guān)業(yè)務(wù)需求，可移步至http://360.net。

    0x06   時(shí)間線

    2022-02-21 360高級(jí)威脅分析中心發(fā)布通告