以色列网络安全公司Intezer在最近发表的一篇文章中指出，该公司已经发现了WatchBog挖矿木马的一个新版本，并推测自今年6月以来已经有超过4500台Linux主机遭到了感染。

分析表明，新版本的WatchBog不仅能够利用多个新披露的漏洞，而且还包含了一个BlueKeep漏洞扫描模块，这表明攻击者正在收集易受攻击的主机列表，以用于后续攻击或出售给第三方牟利。

值得注意的是，几乎所有VirusTotal上的杀毒软件都没有能够将WatchBog的这个新版本检测出来。

WatchBog简介

WatchBog首次被发现是在去年11月，它在当时通过利用已知的漏洞感染了大量的Linux主机，并以此建立了一个加密货币挖矿僵尸网络。

如上所述，Intezer发现了的这个新版本不仅能够利用多个新披露的漏洞（如CVE-2019-11581、CVE-2019-10149和CVE-2019-0192），同时还配备了一个BlueKeep漏洞扫描模块。

BlueKeep，也称为CVE-2019-0708，是一个Windows内核漏洞，允许攻击者在易受攻击的系统上实现远程代码执行。从Windows 2000到Windows Server 2008以及Windows 7，所有未打补丁的Windows版本均存在这个漏洞。技术分析

与旧版本类似，新版本的WatchBog在感染目标主机后也会运行一个初始脚本。接下来，该脚本就会通过创建一个crontab计划任务来实现持久性，然后从Pastebin下载其他模块。

不同之处在于，攻击者对初始脚本的末尾部分进行了修改。

对于旧版本而言，从Pastebin下载的是一个门罗币挖矿模块。

但对于新版本而言，从Pastebin下载的不是一个挖矿模块，而是一个spreader模块。

乍一看，初始脚本下载的模块是一个ELF可执行文件，但它实际上是一个采用Cython编译的可执行文件。

进行反编译，你还会发现它实际上是一个Python模块。

初始化

一旦运行，这个可执行文件就会在/tmp/.gooobb下创建一个文件并将自己的PID进程标识符写进去。如果这个文件原本就已经存在，后续尝试启动spreader将失败。

然后，这个可执行文件就会从Pastebin检索其C2服务器：

不仅如此，在这个可执行文件中也硬编码了.onion洋葱网络C2服务器地址，以作备用。

正是根据对Pastebin链接访问次数的统计，Intezer公司估计截止到目前至少已经有4500台Linux主机遭到了感染。

与C2服务器建立通信后，这个可执行文件就会为受感染主机生成一个唯一密钥，并在此密钥下向C2服务器发送初始消息（包含了受感染主机的系统信息），进而下载最终的挖矿模块。

BlueKeep扫描模块

如上所述，新版本的WatchBog包含了一个BlueKeep漏洞扫描模块，能够找出存在BlueKeep漏洞的Windows主机。

通过使用从C2服务器获取的IP地址列表，BlueKeep漏洞扫描模块能够从中找出开启了RDP服务的服务器。

需要指出的是，RDP的默认Windows服务端口是TCP 3389，可以使用“Cookie: mstshash=”在数据包中轻松识别。

扫描结束之后，WatchBog客户端会返回一个易受攻击的IP地址列表。该列表经过RC4加密，以十六进制字符串编码：

能够利用多个新漏洞

如上所述，新版本的WatchBog能够利用多个新披露的漏洞，具体如下：

CVE-2019-11581（Jira）

CVE-2019-10149（Exim）

CVE-2019-0192（Solr）

CVE-2018-1000861（Jenkins）

CVE-2019-7238（Nexus Repository Manager 3）

无论是成功利用这些漏洞中的哪一个，攻击者都能够实现远程代码执行。结论与安全建议

Intezer公司的研究表明，WatchBog挖矿木马仍在持续进化。Linux主机仍然是主要被攻击对象，而新增加的BlueKeep漏洞扫描模块也证明，攻击者似乎对Windows主机同样感兴趣。

因此，Windows用户似乎有必要考虑一下，为BlueKeep漏洞打上补丁。此外，正在Exim、Jira、Solr、Jenkins或Nexus Repository Manager 3的Linux用户似乎也有必要更新到最新版本。

最后，有怀疑自己的主机已经感染了WatchBog的Linux用户，可以检查一下 “/tmp/.tmplassstgggzzzqpppppp12233333”或“/tmp/.gooobb”文件是否存在。

相关文章