腾讯安全捕获新威胁：利用 Hadoop Yarn REST API 未授权漏洞攻击云主机，安装多种木马通过 SSH 爆破扩散

一、概述

腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马，入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。

攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程（可能是可疑挖矿木马，也可能是正常服务），以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。

通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。

因本次攻击具有蠕虫式的扩散传播能力，可下载安装后门、执行任意命令，发起DDoS攻击，对受害单位网络信息系统安全构成严重影响。腾讯安全专家建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞，避免采用弱口令，采用腾讯安全的技术方案检测系统，清除威胁。

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。
YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作。在配置不当的情况下，REST API将会开放在公网，从而导致未授权访问的风险，黑客可利用该风险进行远程命令执行，实现对目标主机的完全控制。

自查处置建议

腾讯安全专家建议受影响的用户检查以下项目，清除木马，加固系统。

目录：

/tmp/.W10-unix/.rsync/

计划任务项:
11*/2** /a/upd>/dev/null 2>&1
58**0 /b/sync>/dev/null 2>&1
@reboot /b/sync>/dev/null 2>&1
00*/3** /c/aptitude>/dev/null 2>&1

加固：
1.如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。
2.如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。

腾讯安全响应清单

腾讯安全全系列产品，可以在该团伙攻击的各个环节实施检测、防御。

http://hackernews.cc/wp-content/uploads/2021/02/640.jpg

腾讯安全产品应对本次威胁的详细响应清单如下：

应用 场景	安全产品	解决方案
威 胁 情 报	腾讯T-Sec 威胁情报云查服务 （SaaS）	1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
	腾讯T-Sec 高级威胁追溯系统	1）该Miner挖矿团伙相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts
云原生安全防护	云防火墙 （Cloud  Firewall，CFW）	基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测，阻断； 3）支持检测SSH爆破攻击活动。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw
	腾讯T-Sec   主机安全 （Cloud  Workload Protection，CWP）	1）已支持Miner关联模块的检测告警、查杀清理； 2）支持检测SSH爆破攻击活动。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp
	腾讯T-Sec 安全运营中心	基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html
非云企业安全防护	腾讯T-Sec 高级威胁检测系统 （腾讯御界）	基于网络流量进行威胁检测，已支持： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测； 3）支持对SSH爆破攻击活动进行检测。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta
	腾讯T-Sec 零信任无边界 访问控制系统 （iOA）	1）已支持Miner关联模块的检测告警、查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html

二、详细分析

攻击者使用Hadoop命令执行入侵成功后执行恶意的经过BASE64编码的shell脚本，解码后可知，其目的是使用sftp从sshapi.netcatkit.com内下载dota3.tar.gz包，将其解压后执行目录内的initall文件和golan文件。

/tmp/.W10-unix/.rsync/initall
/tmp/.W10-unix/.rsync/c/golan

http://hackernews.cc/wp-content/uploads/2021/02/1.png

initall执行后则进一步对系统进程，文件进行清理，最终调用执行init2。

http://hackernews.cc/wp-content/uploads/2021/02/3.jpg

Intit2执行后则执行解压包内的多个文件，分别存放在a,b,c三个子文件夹。a目录下文件多层调用后执行挖矿程序；b目录多层调用后传播IRC BotNet后门木马，同时修改系统免密登录配置留下后门；c目录文件主要运行masscan做端口扫描，运行stsm（sshprank）进行暴力破解。

同时将3个目录下的主调度文件写入crontab启动项。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201102859.png

/.rsync/a/init0

主要功能为从文件、进程、网络对其它资源占用较高的程序进行清理，最终调用脚本执行wanwakuang的矿机文件。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201102941.png

/.rsync/a/a

x86_64架构下执行挖矿wanwakuang，i686架构下执行anacron，但anacron模块并不存在，推测当前其挖矿平台覆盖度并不完善。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103023.png

wanwakuang则为xmr矿机程序，进行门罗币挖矿。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103036.png

/.rsync/b/a

进一步执行/.rsync/b/run程序。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103121.png

/.rsync/b/run

该脚本主要包含两部分BASE64编码过的恶意命令，第一部分解码后为使用Perl编写的IRC BotNet木马，第二部分解码后主要为结束其它资源占用进程的shell命令，该文件同时会篡改authorized_keys文件进行免密登录后门配置。

http://hackernews.cc/wp-content/uploads/2021/02/640-2.jpg

解码后Perl编写的IRC BotNet 木马，该木马会对C2地址：api.netcatkit.com:443建立IRC连接，本地NICK，USER随机生成，管理员NICK为polly，molly。IRC连接成功后默认加入#007频道，木马具备基本的远程shell命令执行，文件下载，ddos网络攻击等功能。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103245.pnghttp://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103252.png

指定目标进行Shell命令执行。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103320.png

指定目标端口扫描，指定下载。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201103354.png

指定目标进行TCP，UDP，IGMP，ICMP类型流量攻击。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201104210.pnghttp://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201104221.png

/.rsync/c/golan

调用masscan端口扫描工具和stsm暴力破解工具，对局域网内的开放的SSH服务进行暴破攻击，扫描时会首先获取本地SSH历史登录配置信息，通过直接攻击本地登录过的机器以提高其爆破成功率。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201104300.pnghttp://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201104312.png

分析可知，该挖矿攻击代码结构，调度流程与Outlaw僵尸网络高度一致，下左图为本次捕获到的挖矿套件，右为Outlaw僵尸网络攻击套件。两者有着基本一致的包名，子模块名，脚本调度流程。不同之处为两者挖矿模块名字不同，挖矿模块存储方式分别为本地包内存储化和动态C2下载形式，同时两者使用到的扫描器有些许差异。

http://hackernews.cc/wp-content/uploads/2021/02/微信截图_20210201104336.png

从其攻击方式和基础设施来看，更像是永恒之蓝家族投递，样本payload都使用netcatkit.com，sqlnetcat.com下的子域名进行托管，同时最终的包名，挖矿模块名有一致性。

下图为最近捕获的永恒之蓝下载器木马使用Hadoop Yarn REST API未授权命令执行攻击入侵，其payload托管地址为t.netcatkit.com/ln.core。

http://hackernews.cc/wp-content/uploads/2021/02/640.png

永恒之蓝payload其内当前注释掉的代码部分，下载链接包解压后执行initall：down.sqlnetcat.com/dota3.tar.gz（当前下载链接失效），dota3.tar.gz同样解压出名为的.rsync攻击套件。

http://hackernews.cc/wp-content/uploads/2021/02/640-3.jpg

 

 

 

 

IOCs

MD5:
6eb76f7d81e899b29c03b8ee62d9acb3
be85068596881f3ebd6c0c76288c9415
10ea65f54f719bffcc0ae2cde450cb7a
4adb78770e06f8b257f77f555bf28065
eefc0ce93d254982fbbcd26460f3d10d
be5771254df14479ad822ac0a150807a
e46e8c74e2ae7d9bc2f286793fe2b6e2
c2531e3ee3b3ca43262ab638f9daa101
f093aae452fb4d8b72fe9db5f3ad559a
c97485d5ba33291ed09b63286a7d124c
3570a54d6dace426e9e8520f302fe551

Domain：
sshapi.sqlnetcat.com
sshapi.netcatkit.com
sshapi.ouler.cc
api.netcatkit.com
www.minpop.com
t.netcatkit.com
down.sqlnetcat.com

URL：
hxxp://www.minpop.com/sk12pack/names.php
hxxp://www.minpop.com/sk12pack/idents.php