近期深信服安全团队通过数据运营捕获到发现一起使用QRL挖矿的黑产团伙,该团伙将使用的所有样本均保存在某大型材料制造商的官网的目录下用于绕过主流威胁情报的检测。量子抵抗分类账(QRL)项目是一款专门针对量子计算(QC)进步而设计的公开链分类帐,该场景支持的POS算法设计为对传统签名无依赖性,允许节点在低功率设备(如树莓派或笔记本电脑)上运行,并被动地通过放样赚取收入。
通过对url的剖析 http://acrilex.com/alex/x.sh,可以知道C2服务器是Acrilex Inc ——美国的一家材料制造商。同时在acrilex.com/alex目录下发现webshell大马installer.jsp,可以用于查看系统信息,读取文件、上传文件、执行命令、创建目录、创建文件等。
首先根据
url http://acrilex.com/alex/x.sh
查询可以发现其
IP
地址为美国 亚利桑那州 凤凰城。
其中注册机构为
Acrilex Inc
,根据
http://acrilex.com
官网显示
Acrilex
是一家自
1970
年以来领先的塑料片材、棒材和挤压型材制造商。
他们曾定制造丙烯酸安全屏障帮助减缓
Covid-19
传播。
x.sh的主要有以下行为:
下载文件QRL-miner.tgz、libprocesshider.so
Libprocesshider.so此工具作用为劫持系统的readdir64和readdir函数,当readdir函数被调用时,先调用系统的readdir函数在readdir返回的进程名字里面去比较进程名字是否含有特定进程,如果存在该进程则不将readdir的结果返回给调用者以此达到隐藏进程的目的。
QRL-miner目录结构如下其主要是运行挖矿需要的环境与其他特殊功能的对应文件
x文件主要用于清理系统下的history日志记录清理入侵痕迹
关闭挖矿相关进程清除其他挖矿的恶意程序便于独占当前资源
根据不同的系统架构运行挖矿程序主体xmrig 主要为51.91.78.16:3333
stak目录下为挖矿组件的支撑模块与Xmirg的程序主体
https://acrilex.com/alex/ 可以发现其下目录含有诸多病毒样本.alex路径猜测为黑产团伙的某个特定的含义。
在authorized_keys文件里发现ssh密匙,其中后面带有日期20141006
AAAAB3NzaC1yc2EAAAABJQAAAQEAm4OL3t9/CKCXnaS1FqMqVBZtIctaDGfNTwkBypjk7LskJYRJn+y+dykldCNGmtRuNBCsBpzVIvY69ap4AX2h02FBhhngnOZl/P7so4JNo0EBVdeb8tps7fJryXFvbSFv5J+9OlbXa35aKQFPE1G4rQ7KM9cnUXnRtsZz/TPRwx7HRBPlM0FajN48djc2yQaHPtzustZ4YC6NMuadaZZlRMf5+HF6lpdHdsMmLuSlYBigRc1yI9OSlpFSQMxpqyCTiiPO8jOuoARu8ZT5cWzWcjce1oJ7t8IlklCPMnwtjFLdNCQsthXQU86s+5iey0Yons4WC5RW/zaDKStdGvq0qw==
banner22-2020.log里面存放有11263901条日志记录,存放主机的ssh协议的相关内容。
攻击者在受害者的官网目录部署的installer.php为webshell大马,里面可以查看系统信息,读取文件、上传文件、执行命令、创建目录、创建文件,方便于攻击者管理更新。
Sec. Info用于查看系统信息
Files模块主要为目录管理模块
其中Bruteforce模块,有FTP、mysql、PostgreSql三种方式。
其中String tools模块提供了进行多种编码的转换的功能
从当前掌握的数据推测该黑产团伙主要通过web系统漏洞获取到了当前受害者的网站的管理权限,通过webshell的方式在当前网站目录下建立了alex的文件目录存放挖矿需要用的程序套装,待成功入侵挖矿的肉鸡后使用互联网从某高信誉的网站目录拉取对应的挖矿程序主体并在系统当中隐藏运行主体避免被发现查杀。
1. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;
2. 使用高强度的主机密码和数据库密码,并避免多台设备使用相同密码,尽量关闭不必要的共享;
3. 定期检测系统漏洞并且及时进行补丁修复,常见易被木马家族利用进行横向传播的漏洞补丁包括MS17-010、MS08-067等
