记一次双平台Sysrv-hello挖矿团伙非法攻击溯源反制过程
字数 1765 2025-08-12 12:46:04

Sysrv-hello挖矿团伙攻击溯源与反制技术分析

1. 背景概述

本文记录了一次针对Sysrv-hello挖矿团伙的攻击溯源与反制过程。攻击者利用Struts2远程命令执行漏洞(CVE-2017-5638)对客户业务系统发起攻击,虽然攻击未成功,但安全团队通过深入分析成功溯源并反制了攻击者基础设施。

2. 攻击分析

2.1 初始攻击特征

  • 攻击方式:Struts2远程命令执行漏洞(CVE-2017-5638)利用
  • 攻击IP:202.83.31.224(印度安得拉)
  • 攻击结果:失败

2.2 反制过程

  1. 端口扫描发现攻击者服务器开放端口:

    • 8080端口:运行Jboss服务
    • 1443端口

  2. 漏洞利用

    • 确认存在Jboss反序列化漏洞
    • 通过漏洞利用成功获取服务器root权限

3. 溯源分析

3.1 威胁情报关联

  • 攻击IP 202.83.31.224在威胁情报中已被标记为恶意、扫描等标签

3.2 受控主机分析

  • 发现连接以下IP下载恶意文件:
    • 51.79.85.144:下载b.pl文件
    • 194.145.227.21:下载ldr.sh脚本

3.2.1 b.pl文件分析

  • 下载地址:http://51.79.85.144/b
  • 文件行为:
    • 连接http://www.minpop.com下载idents.php
    • 连接http://51.79.85.144/j
    • 赋予文件可读写执行权限
  • 威胁情报:51.79.85.144被标记多个恶意标签

3.2.2 51.79.85.144进一步分析

  • 开放80端口,运行游戏平台
  • 提供被植入木马的客户端下载
  • 下载的b.p1文件经沙箱检测为后门程序

3.3 挖矿基础设施分析

  • www.minpop.com:挖矿相关域名
  • 194.145.227.21:
    • 提供Sysrv-hello恶意主脚本ldr.sh下载
    • 被标记多个恶意标签

3.4 挖矿进程分析

  • 受控主机运行进程:
    • sys.x86_64:主程序
    • ldr.sh:持久化控制脚本
    • kthreaddk:门罗币挖矿程序

3.5 挖矿配置

  • 配置文件:config.json
  • 矿池地址:https://c3pool.com/
  • 钱包地址:82ZKRroUEb59opzWYmsRe556ZCoX9MpUpZuUYFvzxgTLExAsKAhgtdV3u5JRiNBVRi5sPFwoECTbvVS3axQE1z8dDJRC1Ty
  • 在线矿机:14台
  • 获利:0.009926门罗币

4. IOC(入侵指标)

4.1 文件哈希

  • ldr.sh MD5:0fdff38895238f2259db6d186aee5a7e
  • sys.x86_64 MD5:64F7F910849BC479EC72A5E2167C8D78
  • Kthreaddk.exe MD5:a7013a2c7fd3a6168a7c0d9eed825c32

4.2 恶意IP

  • 202.83.31.224
  • 51.79.85.144
  • 194.145.227.21

4.3 恶意域名

  • www.minpop.com
  • c3pool.com(矿池)

5. 技术要点总结

  1. 攻击手法

    • 利用已知漏洞(Struts2、Jboss反序列化)进行初始入侵
    • 下载并执行多阶段恶意载荷

  2. 持久化机制

    • 通过sys.x86_64和ldr.sh实现持久化控制
    • 自动下载更新恶意组件

  3. 挖矿操作

    • 使用kthreaddk进行门罗币挖矿
    • 连接公共矿池c3pool.com
    • 消耗大量CPU资源

  4. 传播方式

    • 伪装游戏客户端传播
    • 通过受控服务器分发恶意载荷

6. 防御建议

  1. 漏洞管理

    • 及时修补Struts2、Jboss等中间件漏洞
    • 定期进行漏洞扫描和评估

  2. 入侵检测

    • 部署威胁情报系统,及时识别已知恶意IP/域名
    • 监控异常CPU使用率和网络连接

  3. 安全加固

    • 限制服务器不必要的端口开放
    • 实施最小权限原则

  4. 应急响应

    • 建立恶意文件哈希库用于快速检测
    • 制定挖矿病毒应急响应流程

  5. 安全意识

    • 警惕不明来源的软件下载
    • 对游戏平台等非官方渠道下载的客户端保持警惕

通过本次分析可见,Sysrv-hello挖矿团伙采用了多阶段、多基础设施的攻击模式,结合漏洞利用和社会工程学手法进行传播,安全团队需要采取多层次防御措施才能有效应对此类威胁。

Sysrv-hello挖矿团伙攻击溯源与反制技术分析 1. 背景概述 本文记录了一次针对Sysrv-hello挖矿团伙的攻击溯源与反制过程。攻击者利用Struts2远程命令执行漏洞(CVE-2017-5638)对客户业务系统发起攻击,虽然攻击未成功,但安全团队通过深入分析成功溯源并反制了攻击者基础设施。 2. 攻击分析 2.1 初始攻击特征 攻击方式:Struts2远程命令执行漏洞(CVE-2017-5638)利用 攻击IP:202.83.31.224(印度安得拉) 攻击结果:失败 2.2 反制过程 端口扫描 发现攻击者服务器开放端口: 8080端口:运行Jboss服务 1443端口 漏洞利用 : 确认存在Jboss反序列化漏洞 通过漏洞利用成功获取服务器root权限 3. 溯源分析 3.1 威胁情报关联 攻击IP 202.83.31.224在威胁情报中已被标记为恶意、扫描等标签 3.2 受控主机分析 发现连接以下IP下载恶意文件: 51.79.85.144:下载b.pl文件 194.145.227.21:下载ldr.sh脚本 3.2.1 b.pl文件分析 下载地址:http://51.79.85.144/b 文件行为: 连接http://www.minpop.com下载idents.php 连接http://51.79.85.144/j 赋予文件可读写执行权限 威胁情报:51.79.85.144被标记多个恶意标签 3.2.2 51.79.85.144进一步分析 开放80端口,运行游戏平台 提供被植入木马的客户端下载 下载的b.p1文件经沙箱检测为后门程序 3.3 挖矿基础设施分析 www.minpop.com:挖矿相关域名 194.145.227.21: 提供Sysrv-hello恶意主脚本ldr.sh下载 被标记多个恶意标签 3.4 挖矿进程分析 受控主机运行进程: sys.x86_ 64:主程序 ldr.sh:持久化控制脚本 kthreaddk:门罗币挖矿程序 3.5 挖矿配置 配置文件:config.json 矿池地址:https://c3pool.com/ 钱包地址:82ZKRroUEb59opzWYmsRe556ZCoX9MpUpZuUYFvzxgTLExAsKAhgtdV3u5JRiNBVRi5sPFwoECTbvVS3axQE1z8dDJRC1Ty 在线矿机:14台 获利:0.009926门罗币 4. IOC(入侵指标) 4.1 文件哈希 ldr.sh MD5:0fdff38895238f2259db6d186aee5a7e sys.x86_ 64 MD5:64F7F910849BC479EC72A5E2167C8D78 Kthreaddk.exe MD5:a7013a2c7fd3a6168a7c0d9eed825c32 4.2 恶意IP 202.83.31.224 51.79.85.144 194.145.227.21 4.3 恶意域名 www.minpop.com c3pool.com(矿池) 5. 技术要点总结 攻击手法 : 利用已知漏洞(Struts2、Jboss反序列化)进行初始入侵 下载并执行多阶段恶意载荷 持久化机制 : 通过sys.x86_ 64和ldr.sh实现持久化控制 自动下载更新恶意组件 挖矿操作 : 使用kthreaddk进行门罗币挖矿 连接公共矿池c3pool.com 消耗大量CPU资源 传播方式 : 伪装游戏客户端传播 通过受控服务器分发恶意载荷 6. 防御建议 漏洞管理 : 及时修补Struts2、Jboss等中间件漏洞 定期进行漏洞扫描和评估 入侵检测 : 部署威胁情报系统,及时识别已知恶意IP/域名 监控异常CPU使用率和网络连接 安全加固 : 限制服务器不必要的端口开放 实施最小权限原则 应急响应 : 建立恶意文件哈希库用于快速检测 制定挖矿病毒应急响应流程 安全意识 : 警惕不明来源的软件下载 对游戏平台等非官方渠道下载的客户端保持警惕 通过本次分析可见,Sysrv-hello挖矿团伙采用了多阶段、多基础设施的攻击模式,结合漏洞利用和社会工程学手法进行传播,安全团队需要采取多层次防御措施才能有效应对此类威胁。