AMN:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿_MNI

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

动态 | 日本GMO公司2019净利润下降 加密业务受到影响但仍实现盈利:2月4日，日本GMO公司公布其2019财年报告。报告显示，GMO（GMO Financial Holdings，Inc.）2019年净利润同比下降21.3%至60亿日元。报告提到，在加密货币业务中，由于受到加密货币（主要是比特币）的较低波动性的影响，并且从7月底开始提前采用虚拟货币交易协会的自律规则而降低了保证金交易的杠杆作用。但尽管销售下降，但该公司通过优化保险范围提高了盈利能力，并获得了一定程度的利润。（日经新闻）[2020/2/4]

3389爆破工具NLBrute1.2

行情 | 第三季度加密货币市场的宏观数据：比特币下跌23.8% 是2012年以来第三糟糕的季度:Blockforce Capital 的首席投资官 David Martin 在总结了今年第三季度加密货币市场上的一些宏观数据。以下是一些主要观点：1. 比特币价格9月份下跌14.4%，连续三个月下跌。在整个第三季度，黄金表现最好，价格上涨4.5%，而比特币价格下跌了23.8%。同时，这也是比特币自从 2012 年以来，表现第三糟糕的一个季度；2. 第三季度，芝加哥交易所CME的交易量与第二季度相比，有所下降，但未平仓合约量保持不变；3. 第三季度，加密货币市值前10位的项目平均亏损44%，以太坊是前10大项目中，唯一在9月份不跌反涨的资产，上涨幅度4%；4. 截止到目前，BNB 是今年表现最好的资产，价格上涨160%，比特币位列第二，价格上涨124%；5. 币安美国交易所在上线后的7天内，交易量有610个比特币，约450万美元。9月23日上线的Bakkt，交易量有754个比特币。[2019/10/5]

S扫描器

动态 | 区块链等行业企业家上榜《2019胡润Under30s创业领袖》:?9月27日，胡润百富发布《2019胡润Under30s创业领袖》，今年共有来自十大行业343家企业的380位青年才俊荣登榜单，此外，有132位80后企业家财富超过20亿元，其中白手起家的有50位，主要来自在线游戏、区块链、先进制造业、互联网服务、教育和娱乐行业。(证券日报)[2019/9/28]

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

动态 | 灰度在2018年熊市中共筹集3.595亿美元:据CryptoMeNow报道，加密资产管理公司灰度（Grayscale）在2018年筹集了3.595亿美元，强劲地度过了长达14个月的熊市。据Grayscale称，去年第四季度的表现平平，但该业务仍然在2018年达到创纪录的水平。Grayscale的官方报告披露，3.595亿美元的投资中，66%由机构投资者投资，价值约为2.37亿美元。[2019/2/15]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

矿池：xmr.f2pool.com:13531

钱包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

标签：RAM比特币AMNMNIHIRAM比特币市值排行DAMN币Omni Consumer Protocol

区块链热门资讯