挖矿木马VsphereMiner盯上VMware虚拟机

 

0x01   概述

VMware vSphere是VMware公司推出的一整套虚拟化解决方案,可以十分方便地创建与管理虚拟机和虚拟设备。近日360安全大脑监测到一款针对VMware vSphere虚拟化平台的挖矿木马,将其命名为VsphereMiner。此挖矿木马会在入侵虚拟机后下载xmrig挖矿程序进行牟利,使用rootkit技术隐藏自身行为,同时借助SSH连接实现横向移动传播。

 

0x02   技术分析

以样本1eaf3aa14facd17930588641e5513c43为例,该样本为VsphereMiner的前置脚本,主要功能包括:下载挖矿木马其余模块、往VMware vSphere服务添加木马启动项、清除竞争对手、SSH横向移动等。

(1) 下载挖矿木马

脚本会从C&C下载挖矿木马的其余模块:

其中的libp.so为一款用户态rootkit,通过/etc/ld.so.preload的方式实现预加载,主要功能为hook了readdir、readdir64系统函数,隐藏掉包含关键词”crosbow”的进程信息,也即木马的javac和ann.jpg模块,下文将分别介绍。

javac为自行编译的开源挖矿程序XMRig,版本为6.15.2,实现挖矿功能:

config2.json和config3.json为xmrig挖矿配置文件,其中包含了矿池、用户名、密码等信息:

ann.jpg和xxx.sh为两个恶意shell脚本,功能分别为清理CPU占用超过40%的进程、清除竞争对手。

postgresql.py推测可能与PostgreSQL数据库的攻击流程相关,其主要功能为执行vshrederrun可执行文件与postgres.sh恶意脚本。从上文可以看出,vshrederrun为挖矿木马保存到本地的javac模块,postgres.sh则为木马保存到本地的xxx.sh脚本。

(2) 往VMware添加木马启动项

脚本在进行一系列环境准备工作,包括设置SELinux为permissive模式、ulimit命令设置最大进程数为50000、设置vm.nr_hugepages大内存页以优化内存性能之后,会尝试修改VMware vSphere本地service文件,往其中添加挖矿木马的恶意启动项:

值得注意的是,此处与关联到的更早版本的前置脚本330426474f22394649ffd699fe096337对比后可以发现,图中显示出了木马作者的一处错误:旧版本中挖矿木马的javac和ann.jpg模块下载的本地路径分别为/usr/bin/evactrim以及/usr/lib/evactrim,在新版本中则更新为了/usr/bin/crosbow、/usr/lib/crosbow,而添加的ExecStart恶意启动项却仍然沿用的是旧版本中的文件路径。

如图中所示,vsphereui.service文件遭到篡改,添加了”/usr/bin/evactrim –config=/usr/bin/config.json”的恶意ExecStart启动项,即带参数的xmrig矿机运行命令;vsphere.service文件被篡改,添加了”/bin/sh /usr/lib/evactrim”的恶意ExecStart启动项,即vsphere进程启动时自动执行木马的ann.jpg恶意脚本。

(3) 清除竞争对手

木马通过杀死进程、删除文件等方式清理kinsing、dbused、sysupdate等知名木马家族,以及CPU占用超过40%的进程,为自身独占设备资源进行挖矿腾出空间:

(4) SSH横向移动

从/.ssh/config、.bash_history、/.ssh/known_hosts等文件中搜索已保存的SSH凭证,建立SSH连接后从C&C下载前置脚本cow.jpg并执行,最终实现前置脚本的横向传播:

截至目前,VsphereMiner挖矿木马的算力和收益如下图所示:

 

0x03   总结

随着数字经济的不断发展,产业数字化转型驱动企业“上云用数赋智”,作为云计算基础架构核心的虚拟化技术也得到较快发展。VMware作为虚拟化市场的领导者,其客户遍布众多基础设施行业。尽管Linux系统与虚拟化环境一直被认为具有较高的安全性,但近年来在利益驱使下仍旧促使相关攻击事件屡有发生。事实上自2021年初以来,就有越来越多的勒索团伙开始发布针对vSphere虚拟化平台的加密软件,这其中包括了臭名昭著的DarkSide、RansomExx、REvil、HelloKitty、BlackMatter等一众老牌或新兴勒索病毒家族。

VsphereMiner作为首次出现的针对VMware虚拟机平台的挖矿木马,攻击流程尚比较简单,所有恶意模块均由固定C&C服务器下发,挖矿行为也使用的是xmrig矿机 + config.json默认配置文件 + 公共矿池的常见做法。攻击目标的选择上罕见地瞄准了其余竞品暂未涉足的VMware vSphere虚拟化平台,给企业/组织业务生产带来严重威胁。

从去年众多勒索病毒纷纷选择VMware vSphere作为新型攻击目标的趋势来看,预计未来针对虚拟化平台的挖矿事件可能会有所增加。

 

0x04   IOC:

URL:

http://93.95.227.[xx]/cow.jpg

http://93.95.227.[xx]/hoo7.jpg

http://93.95.227.[xx]/libp.so

http://93.95.227.[xx]/javac

http://93.95.227.[xx]/config2.json

http://93.95.227.[xx]/config3.json

http://93.95.227.[xx]/ann.jpg

http://93.95.227.[xx]/postgresql.py

http://93.95.227.[xx]/xxx.sh

MD5:

MD5 文件名 类型 描述
1eaf3aa14facd17930588641e5513c43 cow.jpg shell 前置恶意脚本
330426474f22394649ffd699fe096337 hoo7.jpg shell 前置恶意脚本(旧版本)
b1bb432add366d2170ed1c83fb6cfdaa libp.so elf rootkit
00188edae2d6dae3dcd23e790da01f60 javac elf xmrig
95be2401eb52d5b5b4a1588246d71746 config2.json json xmrig配置文件
0e1f3dd908aa33b786e641d25474fa8c config3.json json xmrig配置文件
c4c13f2b630bf3587468b00e5e058dfc ann.jpg shell 恶意脚本
88181b2a6fa0098cc49d701aae298318 postgresql.py python 恶意py
358094a872c0cc5fc7304c07dcb4050a xxx.sh shell 恶意脚本

矿池:

gulf.moneroocean.stream:443

钱包地址:

87ftP3g5Aa8BVWvfi4NQpSiSw4qYNvQm1CpUK2YpGxBoTwUA2S2GUE1NsiKUGP9pBrB6RDrKWTLKz11bXK5fsGhBSNMsUx9s

 

0x05   产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

 

0x06   时间线

2022-02-21 360高级威胁分析中心发布通告

(完)