黑客利用F5 BIG-IP漏洞传播Linux挖矿病毒

漏洞简介

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

近日，F5的安全公告更新了BIG-IP，BIG-IQ中的多个严重漏洞，建议广大用户及时将F5 BIG-IP/BIG-IQ升级到最新版本，最新版本下载地址：

https://support.f5.com/csp/article/K02566623,漏洞允许定义身份验证的攻击者通过 BIG-IP 管理界面和自身IP地址对 iControl REST 接口进行网络访问，以执行任意系统命令，控制目标机器。

漏洞研究

F5 BIG-IP的访问登录页面，如下所示：

向网站发送构造的漏洞POC请求数据包，执行任意命令，POC请求数据包，如下所示：

如果存在漏洞，则会执行命令id，这个漏洞的POC脚本有兴趣的可以去自行下载研究，github地址：https://github.com/h4x0r-dz/RCE-Exploit-in-BIG-IP。

病毒研究

一些黑客组织已经开始利用这个漏洞传播挖矿病毒，国内外各安全厂商应该也监控到一些相关的数据包，捕获到的数据包流量与之前构造POC请求的流程数据包格式一样，如下所示：

直接下载里面的payload恶意脚本，进行分析研究。

1.关闭其他挖矿病毒家族进程，如下所示：

2.如果检测到阿里云相关进程，则下载并执行uninstall.sh和quartz_uninstall.sh脚本卸载、删除阿里云盾(安骑士)产品，如下所示：

3.清理阿里云盾残留项，停止并禁用阿里云服务，如下所示：

4.关闭并删除百度云Agent服务，阿里云监控，如下所示：

5.如果检测到腾讯云镜等进程，则通过脚本卸载删除云镜，如下所示：

6.下载并安装挖矿程序，如下所示：

下载安装的挖矿程序是开源挖矿程序，下载链接：

https://github.com/xmrig/xmrig/releases/latest/xmrig.tar.gz

7.修改挖矿程序的配置，如下所示：

最后关闭相关进程，再生成辅助脚本启动挖矿程序进行挖矿操作，脚本基本分析完了，比较简单，这款Linux挖矿病毒矿池为spy pool(天池)，矿池地址：https://skypool.org/,挖矿URL地址为：www.skypool.in:80。

笔者之前也分析过一些基于Linux平台下的挖矿病毒，使用的恶意脚本基本上大同小致，现在一些黑客组织会使用Rootkit等高级技术隐藏挖矿病毒进程或挖矿流量等，不过通过漏洞下载传播的脚本基本套路都差不多，主要功能是就是对抗安全软件、常驻系统挖矿、干掉其他挖矿恶意家族等，使用的挖矿病毒大多数也是开源挖矿代码程序或基于开源挖矿代码修改的制定版挖矿程序。

前段时间BTC价格疯涨，曾一度爆涨到超过六万美元，真的是太疯狂了，现在BTC已经不好挖，也很难挖到了，所以大部分黑客组织通过挖矿病毒程序来挖门罗币，目前勒索大部分还是以勒索BTC为主，但是随着门罗币的发展与流行，Sodinokibi勒索病毒之前也开始勒索门罗币，受害者可以通过交付门罗币解密文件。

总结

随着云计算的发展，黑客组织的攻击目标早就已经瞄准了云计算，一些黑客组织会通过云端应用程序漏洞来植入各种恶意软件(挖矿、勒索、窃密、远控、后门)到云服务器上，通过将挖矿病毒植入企业云服务器后，可以利用企业的云服务器帮助黑客组织来挖矿获取利益。

企业数据安全已经成为未来网络安全最关注的方向，未来会有更多的企业将数据存储到云服务器上，使用云计算厂商提供的相关服务，勒索病毒攻击组织从去年开始就已经向这些云计算服务器发起攻击，对暴露在公网上的云计算的VPS、ECS、虚拟主机等进行扫描，同时会对一些服务器托管服务商和运营商进行定向攻击。

未来基于云计算市场的发展，各企业对云安全的需求会越来越旺盛，国内各安全厂商也纷纷开始云原生安全产品的推广，像云主机安全类产品，云防火墙类产品，云WEB应用防护类产品等，其实不管推出什么新产品，叫什么新名字，基于什么平台之类，这些产品主要还是想解决的两大核心问题，一个是漏洞问题，一个是病毒问题，漏洞会一直存在，病毒更是无处不在，而且就像笔者之前说的，从计算机安全问题出现的第一天起，安全问题主要还是以这两个核心为基础，一个漏洞，一个病毒，漏洞与病毒总是相辅相成的，病毒会利用漏洞进行传播，漏洞可以作为病毒传播的载体，每次只要有新的漏洞曝光，黑客组织都会第一时间盯上这些曝光的漏洞，试图利用这些漏洞传播各种恶意软件，漏洞是病毒的一种传播方式，同时一些病毒也会包含漏洞，通过漏洞横向扩散，系统提权，杀软对抗等操作，除了利用漏洞，黑客组织也会通过其他各种不同的攻击方式来传播病毒。