WannaMine新动向:对Weblogic服务端发起大规模攻击
字数 1793 2025-08-18 11:37:07

WannaMine挖矿僵尸网络攻击分析与防御指南

1. WannaMine概述

WannaMine是一个活跃于2017年9月的挖矿僵尸网络,主要针对服务器进行攻击并植入门罗币(Monero)挖矿程序。该僵尸网络经历了多次更新,攻击手法不断演变。

1.1 历史演变

  • 初始版本(2017年9月):使用"永恒之蓝"漏洞(MS17-010)和"Mimikatz"凭证窃取工具
  • 2018年3月10日更新:转向主要利用Weblogic反序列化漏洞(CVE-2017-10271)
  • 攻击特点:采用"无文件"攻击技术,通过PowerShell和WMI实现持久化

2. 当前攻击手法分析

2.1 主要攻击向量

  • Weblogic反序列化漏洞(CVE-2017-10271)

    • 攻击路径:/wls-wsat/CoordinatorPortType
    • 单日最高请求量达30万次
    • 仅针对Windows服务器有效

  • 潜在攻击模块(尚未激活)

    • MSSQL弱口令爆破模块
    • PHPMyAdmin弱口令爆破模块

2.2 攻击流程

  1. 通过Weblogic漏洞初始入侵
  2. 执行PowerShell脚本下载恶意负载
  3. 使用反射PE注入(ReflectivePEInjection)技术绕过杀毒软件
  4. 植入挖矿程序或转为后门

2.3 恶意负载功能

  • 门罗币挖矿
  • 可转换为多功能后门,执行以下操作:
    • 执行任意命令(CMD指令)
    • 屏幕截图(ScreenShot指令)
    • MSSQL扫描与爆破(CrackMSSQL指令)
    • WebLogic漏洞攻击(CrackWeblogic指令)
    • PHPMyAdmin弱口令扫描与WebShell扫描(PMAFind指令)

3. 技术细节

3.1 无文件攻击技术

  • 完全通过PowerShell进程执行恶意行为
  • 不依赖磁盘文件,增加检测难度
  • 使用WMI实现持久化

3.2 C&C通信

  • 主控地址:hxxp://123.59.68.172/Cache/Tunnel.php
  • 相关恶意脚本:
    • hxxp://123.59.68.172/putout/DL.ps1
    • hxxp://123.59.68.172/putout/Neutrino.ps1
    • hxxp://123.59.68.172/Cache/DL.php
    • hxxp://123.68.68.172/cache/x64.ps

3.3 弱口令字典

  • 内置上百组常见弱口令组合
  • 针对MSSQL和PHPMyAdmin服务

4. 防御措施

4.1 紧急措施

  1. 立即更新Weblogic服务端组件
  2. 检查服务器上是否存在可疑的PowerShell进程
  3. 在网络层面屏蔽对/wls-wsat/CoordinatorPortType路径的访问

4.2 长期防护策略

  • 漏洞管理

    • 及时安装Oracle官方发布的Weblogic补丁
    • 定期扫描并修复其他已知漏洞(如Struts2 s2-045)

  • 账户安全

    • 为所有服务使用高强度密码
    • 禁用或重命名默认账户
    • 实施账户锁定策略防止暴力破解

  • 系统加固

    • 限制PowerShell的执行权限
    • 监控WMI异常活动
    • 启用Windows Defender或其他终端防护软件

  • 网络防护

    • 实施网络分段,限制服务器出站连接
    • 监控异常外连行为(特别是到已知C&C地址的连接)
    • 部署入侵检测/防御系统(IDS/IPS)

5. 检测与响应

5.1 检测指标(IOC)

  • 网络请求特征:

    • /wls-wsat/CoordinatorPortType的异常访问
    • 与C&C地址(123.59.68.172)的通信

  • 系统行为特征:

    • 异常的PowerShell进程
    • 高CPU使用率(挖矿行为)
    • 异常的WMI持久化条目

5.2 应急响应步骤

  1. 隔离受感染系统
  2. 收集相关日志(PowerShell日志、Weblogic访问日志等)
  3. 分析恶意脚本和行为
  4. 清除持久化机制(WMI条目等)
  5. 修复漏洞并更改所有相关凭证

6. 总结

WannaMine代表了当前流行的服务器挖矿威胁,其特点包括:

  • 利用已知但未修复的漏洞(Nday漏洞)
  • 采用无文件技术增加检测难度
  • 具备多功能的攻击能力
  • 不断更新攻击手法

有效的防御需要结合及时的补丁管理、严格的访问控制和全面的安全监控。服务器管理员应特别关注Weblogic等中间件的安全更新,并加强对PowerShell活动的监控。

WannaMine挖矿僵尸网络攻击分析与防御指南 1. WannaMine概述 WannaMine是一个活跃于2017年9月的挖矿僵尸网络,主要针对服务器进行攻击并植入门罗币(Monero)挖矿程序。该僵尸网络经历了多次更新,攻击手法不断演变。 1.1 历史演变 初始版本(2017年9月) :使用"永恒之蓝"漏洞(MS17-010)和"Mimikatz"凭证窃取工具 2018年3月10日更新 :转向主要利用Weblogic反序列化漏洞(CVE-2017-10271) 攻击特点 :采用"无文件"攻击技术,通过PowerShell和WMI实现持久化 2. 当前攻击手法分析 2.1 主要攻击向量 Weblogic反序列化漏洞(CVE-2017-10271) 攻击路径: /wls-wsat/CoordinatorPortType 单日最高请求量达30万次 仅针对Windows服务器有效 潜在攻击模块(尚未激活) MSSQL弱口令爆破模块 PHPMyAdmin弱口令爆破模块 2.2 攻击流程 通过Weblogic漏洞初始入侵 执行PowerShell脚本下载恶意负载 使用反射PE注入(ReflectivePEInjection)技术绕过杀毒软件 植入挖矿程序或转为后门 2.3 恶意负载功能 门罗币挖矿 可转换为多功能后门,执行以下操作: 执行任意命令(CMD指令) 屏幕截图(ScreenShot指令) MSSQL扫描与爆破(CrackMSSQL指令) WebLogic漏洞攻击(CrackWeblogic指令) PHPMyAdmin弱口令扫描与WebShell扫描(PMAFind指令) 3. 技术细节 3.1 无文件攻击技术 完全通过PowerShell进程执行恶意行为 不依赖磁盘文件,增加检测难度 使用WMI实现持久化 3.2 C&C通信 主控地址: hxxp://123.59.68.172/Cache/Tunnel.php 相关恶意脚本: hxxp://123.59.68.172/putout/DL.ps1 hxxp://123.59.68.172/putout/Neutrino.ps1 hxxp://123.59.68.172/Cache/DL.php hxxp://123.68.68.172/cache/x64.ps 3.3 弱口令字典 内置上百组常见弱口令组合 针对MSSQL和PHPMyAdmin服务 4. 防御措施 4.1 紧急措施 立即更新Weblogic服务端组件 检查服务器上是否存在可疑的PowerShell进程 在网络层面屏蔽对 /wls-wsat/CoordinatorPortType 路径的访问 4.2 长期防护策略 漏洞管理 : 及时安装Oracle官方发布的Weblogic补丁 定期扫描并修复其他已知漏洞(如Struts2 s2-045) 账户安全 : 为所有服务使用高强度密码 禁用或重命名默认账户 实施账户锁定策略防止暴力破解 系统加固 : 限制PowerShell的执行权限 监控WMI异常活动 启用Windows Defender或其他终端防护软件 网络防护 : 实施网络分段,限制服务器出站连接 监控异常外连行为(特别是到已知C&C地址的连接) 部署入侵检测/防御系统(IDS/IPS) 5. 检测与响应 5.1 检测指标(IOC) 网络请求特征: 对 /wls-wsat/CoordinatorPortType 的异常访问 与C&C地址( 123.59.68.172 )的通信 系统行为特征: 异常的PowerShell进程 高CPU使用率(挖矿行为) 异常的WMI持久化条目 5.2 应急响应步骤 隔离受感染系统 收集相关日志(PowerShell日志、Weblogic访问日志等) 分析恶意脚本和行为 清除持久化机制(WMI条目等) 修复漏洞并更改所有相关凭证 6. 总结 WannaMine代表了当前流行的服务器挖矿威胁,其特点包括: 利用已知但未修复的漏洞(Nday漏洞) 采用无文件技术增加检测难度 具备多功能的攻击能力 不断更新攻击手法 有效的防御需要结合及时的补丁管理、严格的访问控制和全面的安全监控。服务器管理员应特别关注Weblogic等中间件的安全更新,并加强对PowerShell活动的监控。