本文作者:云鼎實驗室
公眾號:云鼎實驗室

一、前言

近日,騰訊安全云鼎實驗室監測到大量主機被入侵并添加了一個名為“vusr_dx$”的隱藏帳號;同時,云鼎實驗室還監測到此類帳號被大量創建的同時存在對應帳號異地登錄的情況。

Windows 的帳號名稱后帶著“$”符號時,不會在 net user 命令中顯示出帳號信息,是攻擊者常用的一種隱藏帳號的方法,一般開發者不會添加這種類型的帳號。云鼎實驗室對該事件進行跟蹤分析,還原了攻擊者的入侵手法、入侵后的操作。

二、入侵手法分析

通過對所有被入侵并添加“vusr_dx$”隱藏帳號的主機進行分析統計,發現大多數主機都安裝了phpStudy 組件,Web 目錄存在 phpinfo 和 phpMyAdmin,且 MySQL 的 root 用戶有 50% 為弱口令。由此可以推斷可能導致入侵的原因:

用戶在自己云主機通過?phpStudy 一鍵部署 PHP 環境,默認情況下包含 phpinfo 及 phpMyAdmin 并且任何人都可以訪問,同時安裝的 MySQL 默認口令為弱口令,于是黑客通過 phpMyAdmin 使用弱口令登錄 MySQL,接著利用 MySQL 的一些手段獲取到系統權限。

常見利用 MySQL 獲取系統權限一般有如下幾個方式:

  • 利用?SELECT "<?system("$_POST[cmd]);?>" INTO OUTFILE '/path/to/webroot'?語句、或者 general_log 向 Web 目錄寫入一個 Webshell。由于 phpStudy 的一些原因,其 PHP 進程執行命令后是一個非常高權限的用戶(通常為管理員用戶或者是 SYSTEM 權限)。

  • 利用 MySQL UDF 來進行命令執行。通常利用 UDF 來執行命令的情況有 PHP 低權限但是 MySQL 是高權限的情況,或者是 PHP 用 disable_functions 限制了調用系統命令執行的方式,所以利用 UDF 來繞過 disable_functions。

這兩種手法攻擊者都有可能使用,由于攻擊者是大批量、持續不斷的進行入侵操作,可以推斷出攻擊者必然是使用了腳本來進行攻擊的。

圖 1. 攻擊者每日成功入侵的機器數量曲線

通過進一步分析調查發現,最終確認攻擊者的攻擊手法為利用 MySQL 弱口令登錄后,修改 general_log 指向 Web 目錄下的 sheep.php 的文件,然后利用 shell 創建帳號。下表是 general_log 中時間和帳號創建時間的對應關系,佐證了攻擊者的攻擊手法。

攻擊者使用的 SQL 語句如下圖所示:

圖2. 攻擊者使用的 SQL 語句 payload

圖3. sheep.php文件內容

可見,攻擊者是針對性的對于 phpStudy 進行攻擊。由于 phpStudy 默認安裝的 MySQL 密碼為 root / root,且開啟在外網 3306 端口,在未設置安全組,或者安全組為放通全端口的情況下,極易受到攻擊。

攻擊者在創建完帳戶后,會將挖礦木馬上傳到路徑?C:\ProgramData\Zational\Zational.exe(MD5:cb6f37e76dd233256f1c3303b4e99b1c)并運行。該文件是一個門羅幣挖礦程序, Github 地址為:https://github.com/xmrig/xmrig

圖4. 挖礦進程

三、入侵溯源

黑客在創建了隱藏帳號之后會通過隱藏帳號登錄并植入挖礦程序,通過騰訊云云鏡捕獲的“vusr_dx$”帳號異常登錄行為進行來源 IP 歸類統計,得到將近60個 IP 地址,包含除了來自于不同 IDC 的 IP,還有部分來自江蘇鹽城疑似黑客真實 IP:

圖5. 部分異常登錄來源IP

初步可以懷疑這批是黑客所控制肉雞甚至可能包含有黑客真實 IP,進一步針對這些 IP 進行信息收集分析,發現?103.214.*.*?存在 phpMyAdmin,同時 MySQL 也存在弱口令,且攻擊者在 Web 目錄下留下了后門,當即猜測這是攻擊者的一臺跳板機。進一步分析,獲得了黑客的后門帳號 vusr_dx$ 的密碼:admin@6**。

進一步針對對于挖礦木馬行為進行分析后,發現此木馬會連接到域名為gowel.top(IP:202.168.150.44)的代理礦池,由于相關配置沒有指定專用礦池用戶 token 或者用戶名,可以認為這是一個私有的礦池地址,同時我們發現,?hxxp://gowel.top:80/?是一個 HFS,里面有我們獲取到的挖礦木馬文件。

圖6. 該域名80端口HFS截圖

由于該域名 whois 信息是域名注冊商而非黑客本身,無法通過 whois 獲取注冊者相關信息。

進一步通過遍歷異常登錄來源 IP 查詢黑客畫像數據,最終發現一個關聯 QQ 信息可能為黑客 QQ,QQ 號為12***,通過搜索引擎搜索該 QQ 號也能證明該 QQ 號主人在進行一些可能的黑客行為:

圖7. 對應QQ號搜索引擎查詢結果

查詢對應QQ資料:

圖8. 對應QQ號資料卡

四、解決方案

針對此類攻擊,通用的解決方案如下:

  1. 在騰訊云控制臺設置 CVM 的安全組,盡量不要選用放通全端口,而是針對性的設置需要外網訪問的端口,比如 HTTP 的默認端口 80、RDP 的默認端口 3389;
  2. 對于 phpStudy 這種集成環境,在安裝結束后應修改 MySQL 密碼為強密碼,不要使用 root / root 或者 root / 123456 等弱口令;
  3. 可以選擇安裝騰訊云云鏡,云鏡的主機漏洞檢測功能支持支持 Windows 隱藏帳戶檢測、MySQL 弱口令檢測等漏洞檢測,同時也支持黑客植入的 Webshell 檢測。

圖9. 云鏡對于受攻擊主機的漏洞掃描報警

五、IOCs

MD5:cb6f37e76dd233256f1c3303b4e99b1c

礦池地址:hxxp://gowel.top:11588

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/725/