比特币暴涨，挖矿木马围攻云主机的发令枪打响，超人矿机冲了上来

腾讯安全威胁情报中心

一、概述

受近期比特币价格暴涨和数字虚拟货币整体市值飙升的影响，挖矿木马十分活跃。 腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接编写计划任务下载golang语言编写的挖矿木马下载器超人。 罗币挖矿。

腾讯安全近期捕获到大量使用golang语言编写的各种脚本木马。 这些木马利用多个不同Linux服务器组件的高危漏洞或弱口令入侵云服务器挖矿。 这些挖矿木马分析溯源后发现，它们属于不同的黑业团伙，意为“千军万马，漏洞百出，武器弱口令，抢夺云主机挖金”。 . 腾讯安全专家建议政企机构安全运维人员及时修复漏洞，排查弱口令，防止服务器成为黑产业控制的黑鸡。

在这个例子中，一些政企机构在使用Redis时，由于redis的配置不当，比如使用空密码或者弱密码，攻击者可以直接访问redis服务器btc挖矿程序，通过这个问题可以直接写定时任务，甚至可以得到直接服务器权限。

自查处置建议

腾讯安全专家推荐修复建议：

1、对于没有配置redis密码访问的，需要配置添加用户和密码访问。 弱密码需要强密码。

2、如非必要，不要对外开放redis端口。 如果需要对外开放服务，请正确配置ACL策略。

清理利用漏洞的挖矿木马

1、清除定时任务中的python3.8m.sh相关条目；

2、确认JavaUpdate和mysqlserver进程异常后，将其杀掉；

3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc文件夹。

腾讯安全响应清单

针对supermanminer系列挖矿木马活动，腾讯安全全系产品均已响应拦截。

详细回复名单如下：

应用

场景

安全产品

解决方案

声望

威胁

感情

报告

腾讯T-Sec

威胁情报云搜索服务

（软件即服务）

1）存储了SupermanMiner挖矿木马相关的IOC。

各种安全产品可以通过“威胁情报云搜索服务”提供的接口来提升威胁识别能力。 可以参考：

腾讯T-Sec

高级威胁跟踪系统

1）SupermanMiner挖矿木马相关信息情报已被检索。

网络管理员可以利用威胁溯源系统对日志进行分析，进行线索研判，追溯网络入侵源头。 关于T-Sec高级威胁追踪系统的更多信息，请参考：

云原生

安全

保护

云防火墙

（云防火墙btc挖矿程序，CFW）

基于网络流量的威胁检测和主动拦截支持：

1）识别和检测SupermanMiner挖矿木马相关IOCs；

2）检测Redis未授权漏洞；

关于云防火墙的更多信息，请参考：

腾讯T-Sec主机安全

（云工作负载保护，CWP）

1) 支持查杀SupermanMiner挖矿木马；

2) 支持Redis未授权漏洞检测；

腾讯主机安全（云镜）为云端终端提供防毒防毒、防入侵、漏洞管理、基线管理等服务。 关于T-Sec主机安全的更多信息，请参考：

腾讯T-Sec安全运营中心

基于客户云安全数据和腾讯安全大数据的云安全运营平台。 已接入腾讯主机安全（云镜）、腾讯御智等产品数据导入，为客户提供漏洞情报、威胁发现、事件处理、基线合规、泄漏监控、风险可视化等能力。

更多腾讯T-Sec安全运营中心信息请参考：

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御姐）

1）支持SupermanMiner挖矿木马通过协议检测与服务器进行网络通信；

2）支持redis未授权访问漏洞检测。

关于T-Sec高级威胁检测系统的更多信息，请参考：

欢迎长按识别以下二维码，添加腾讯安全助手，咨询更多腾讯安全产品信息。

2.详细分析

在使用redis应用时，没有配置访问策略，使得攻击者可以直接使用弱口令或空口令访问redis应用，并通过应用直接向系统写入定时任务或者通过写ssh直接控制服务器公钥文件。

通过 Unauthorized 直接写入计划任务

在 /var/spool/cron/root 中，您可以看到以下内容：

通过定时任务将脚本下载到pastebin并执行。

下载的脚本内容是用base64编码的

解码内容：

这个脚本的主要作用是判断当前宿主进程是否包含路径/var/tmp/.system-python3.8-Updates，然后指定下载superman文件的站点，命名为f并存放在 /var/tmp/ 目录中。 运行后删除这个文件。

superman 是一个用 go 编写的下载器。 其主要功能是下载核心挖矿程序xmrig和配置文件，并重新下载superman，命名为mysqlserver，写入定时任务持久化运行。

定时任务是运行超人后写的。

python3.8m.sh的内容是：

脚本中的mysqlserver在superman下载后重命名，存放在.system-python3.8-updates路径下。

通过流量分析发现木马会频繁请求，域名对应的IP一直在变化。 本站主要是查询在NameSilo注册的域名的whois信息等。

通过查看网站源代码，发现源代码中嵌入了一些内容，包括xmirg下载链接、矿池配置、超人下载链接和文件大小等。

通过查询该域名的相关信息，该域名与namesilo属于同一个组织，判断网站helloomeyou被攻击后，将这些内容嵌入到网站中。

通过对超人文件的分析，发现其通过正则表达式匹配了相应的内容，分别匹配了超人下载的url、xmrig的下载路径、文件大小和矿池的配置内容。

超人文件通过github下载xmrig文件，命名为JavaUpdate，存放在/var/tmp/.Javadoc/路径下。 同时通过匹配的矿池内容修改对应的config.json文件。

配置文件内容：

其中，矿池用于挖矿：

54.37.7.208:443 (xmrpool.eu)

挖矿钱包：

88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6

根据其223Kh/s的钱包算力计算，该挖矿团伙控制了约10000台电脑进行挖矿。

超人是用 Go 语言编写的。 除了启动挖矿程序外，它还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。

国际奥委会

网址

hxxp://138.124.180.20:8080/超人

hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz

hxxps://pastebin.com/raw/xnxWdRJ8

hxxp://www.hellomyyou.cyou/

MD5

Java更新

a66c6c00d09529066b03070646127286

超人/mysqlserver

96dc8dcd5bf8f6e62c3ce5219e556ba3

矿池地址

xmrpool.eu

钱包地址 88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6

参考链接：