挖礦木馬WatchBog新變種來襲，利用多款工具新漏洞

本文要點

·Intezer安全團隊於近日發現了一個新版本的WatchBog挖礦木馬，據推測從今年6月以來已累計破壞超過4,500台Linux機器。

·此版WatchBog利用了數個新披露的漏洞，還添加了BlueKeep RDP協議漏洞掃描器模塊，表明背後的攻擊者正在收集易受攻擊的系統列表，以便將來利用或出售給第三方牟利。

·目前，所有安全供應商都未檢測到此惡意軟體。

·在這篇文章中，我們為Windows和Linux用戶提供了預防和響應建議，此外還提供了一個YARA簽名，用於檢測類似的威脅。

介紹

WatchBog於2018年11月出現在公眾視野中，它利用已知的漏洞來破壞Linux伺服器。阿里雲對此曾做過記錄。

WatchBog的上一份研究報告還停留在數月前，這段時間內，它又通過新的傳播模塊來升級注入程序，增加了對伺服器的覆蓋範圍。而我們發現的此版WatchBog，還利用了數個近期公開的漏洞——包括Jira的CVE-2019-11581（就在漏洞公布後12天），Exim的CVE-2019-10149和Solr的CVE-2019-0192 ，同時還添加了一個BlueKeep掃描器。

BlueKeep，也稱為CVE-2019-0708，是一個Windows內核漏洞，能讓攻擊者在脆弱的系統上獲取RCE。從Windows 2000到Windows Server 2008，再到Windows 7，未補丁的Windows版本中均存在此漏洞。

目前還沒有已知公開的PoC可用此漏洞來取得RCE，也沒有在野外發現任何此類攻擊。這個掃描器模塊的出現表明攻擊者正在收集系統列表，好用於未來的攻擊之中，

Jira、Solr和BlueKeep的漏洞掃描模塊都是在13天內添加的，說明WatchBog最近可能在加速新功能的整合，再次印證了「漏洞從曝光到被黑產的時間越來越短」。

圖1.VirusTotal檢測結果

把樣本上傳到Intezer的分析系統後，可以看出，在對文件進行逆向工程之前就已經顯示出與WatchBog大量代碼重疊了。

圖2.Intezer分析系統顯示結果

在研究樣本中的新增加的模塊時，我們發現了它設計上的一個缺陷，允許我們進行「中間人」攻擊、分析二進位文件。下面對該模塊進行分析。

技術分析

感染過程與阿里雲之前記錄的類似：攻擊者在接觸目標後運行初始部署腳本，腳本通過crontab設置持久性，並從Pastebin下載加密貨幣挖礦機。

值得注意的是腳本的末尾部分:

以WatchBog的經典套路，腳本會先從Pastebin下載一個base64編碼的payload，以此下載組件並執行：

但此版中下載的不是另一個挖礦機，而是新的spreader模塊。

乍看之下，下載的是一個簡單的動態鏈接ELF可執行文件，但開始分析後就會發現發現它實際上是一個Cython編譯的可執行文件。

圖3.Cython編譯的二進位文件

關於Cython，有文章曾描述說：

Cython是一個優化的靜態編譯器，它能將.py模塊轉換成高性能的C文件。生成的C文件可以毫不費力地編譯到本機二進位庫中，且編譯完成後，沒有辦法將編譯庫反轉回可讀的Python源代碼！

但是，此編譯後的二進位文件還是透露了原始Python模塊的一些線索：

初始化過程

此二進位文件一開始會在/tmp/.gooobb處創建一個文件，在該文件中將其進程標識符（pid）寫為惡意軟體執行的足跡。當此文件存在時，後續啟動spreader將失敗。

然後從Pastebin中檢索其C2伺服器：

此二進位文件中，還硬編碼了洋蔥（.onion）C2伺服器地址作備用。

我們可以根據對Pastebin鏈接的訪問次數來估計受感染的受害者數量：

如上所示，我們推算大約有4,500個端點受到感染。由於WatchBog在6月5日(這些鏈接在Pastebin的上傳日期)之前也一直處於活動狀態，實際感染數可能比這要多。

二進位文件將首先嘗試連接到其中一個可用的靜態C2伺服器。

同時我們觀察到，C2伺服器的證書已過期。

通常，HTTPS客戶端會檢查與之交互的SSL證書，然而WatchBog並非如此。我們假設WatchBog客戶端在使用HTTPS時沒有驗證證書，否則它將拒絕與C2通信。

這個漏洞允許我們用我們自己的證書設置一個透明的HTTPS代理，並發起一個「中間人」攻擊來分析WatchBog SSL/TLS流量:

二進位文件之後會為受害者生成唯一密鑰，並在此密鑰下向C2發送初始消息。下面的圖像是一個SSL / TLS解密流量中請求和響應的payload示例：

這些數據包被編碼混淆過。在分析過程中，我們確定了使用的編碼演算法，並編寫以下腳本解碼payload：

final = ""

arr = input()

for a in arr:

stri = "begin 666 \n\n \nend\n".format(a) \

.decode("uu").strip("\x00") \

.decode("hex") \

.decode("base64")

final = chr(int(stri))

print(final[::-1])

向C2發送的初始消息里，包含了受感染端的系統信息：

信息將被合併和散列，以構建CNC中託管的WatchBog API的路徑。伺服器回復「task」，讓殭屍網路在目標列表上執行：

BlueKeep掃描器

此版WatchBog似乎已經集成了一個RDP掃描程序，能找到含有BlueKeep漏洞的Windows機器。此掃描程序是來自Github zithosum0x0的掃描程序的Python埠，我們是根據函數名稱的相似性進行評估的：

然後掃描器將從CNC提供的IP列表中查找RDP伺服器：

圖4.WatchBog掃描RDP埠

RDP的默認Windows服務埠是TCP 3389，可以根據「Cookie: mstshash=」在數據包中輕鬆識別。

我們可以觀察到字元串"watchbog"作為了RDP mstshash欄位的用戶名。

在RDP掃描的IP列表中，我們發現一些IP地址屬於澳大利亞沃達豐（一家跨國性的行動電話營辦商）和騰訊的基礎設施。

掃描結束之後，WatchBog客戶端會返回一個易受攻擊的IP地址列表，列表經過RC4加密，以十六進位字元串編碼:

圖5.加密的IP地址

說明WatchBog背後的參與者可能正在收集含有此BlueKeep漏洞的Windows端點列表，要麼供將來使用，要麼出售給第三方牟利。

傳播

此版WatchBog利用了以下五個CVE漏洞：

·CVE-2019-11581 (Jira)

·CVE-2019-10149 (Exim)

·CVE-2019-0192 (Solr)

·CVE-2019-7238 (Nexus Repository Manager 3)

圖6.可用的「pwn」模塊

此外，還有兩個用於bruteforce CouchDB和Redis實例的模塊，以及實現RCE的代碼。

所有「pwn」模塊都允許攻擊者實現遠程代碼執行。

一旦發現相應漏洞，二進位文件就會調用正確的漏洞利用，並安裝託管在Pastebin上的惡意bash腳本來進一步傳播。

我們能夠找到上傳到HybridAnalysis的spreader模塊的早期測試版本，包含了Solr CVE-2019-0192，以及ActiveMQ CVE-2016-3088的利用代碼，以及一個在破解的Redis實例上獲得代碼執行的模塊。

圖7.Solr漏洞利用代碼

結論

研究最近的WatchBog我們發現，它仍在高速發展中，現階段WatchBog是通過整合新公布漏洞和改進感染過程來保持先進性。

需要強調的是，如果Python惡意軟體是與Cython等引擎一起部署本地的，那麼對它的分析就會變得更加困難，這點與其他Python原生框架(如pyinstaller)有所差別。

另外，Linux殭屍網路與BlueKeep掃描器的整合也可能表明WatchBog正在不同的平台上探索勒索的機會。

預防和反應

建議您將相關軟體更新到最新版本：

·Windows用戶參考Microsoft的客戶指南，以緩解BlueKeep漏洞。

·使用Exim、Jira、Solr、Jenkins或Nexus Repository Manager 3的Linux用戶更新到最新版本。

·使用Redis或CouchDB的Linux用戶確保沒有在受信任網路之外公開的開放埠。

·疑似感染了WatchBog的Linux用戶檢查是否存在「/tmp/.tmplassstgggzzzqpppppp12233333」文件或「/tmp/.gooobb」文件。

我們還根據WatchBog的惡意代碼創建了一個自定義YARA規則。

IOCs

26ebeac4492616baf977903bb8deb7803bd5a22d8a005f02398c188b0375dfa4

https://9d842cb6.ngrok[.]io

https://7dc5fb4e.ngrok[.]io

https://z5r6anrjbcasuikp.onion[.]to

https://pastebin[.]com/raw/Dj3JTtnj

https://pastebin[.]com/raw/p3mGdbpq

https://pastebin[.]com/raw/UeynzXEr

https://pastebin[.]com/raw/MMCFQMH9

3.14.212[.]173

3.14.202[.]129

3.17.202[.]129

3.19.3[.]150

18.188.14[.]65

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！