小心你的服务器变“矿机”!天融信捕获变异H2Miner挖矿木马
警惕!
近日,天融信谛听实验室捕获到H2Miner组织挖矿木马变种样本。H2Miner组织最早活跃于2019年底,善于利用最新披露的RCE漏洞进行“撕口子”渗透攻击,对目标服务器植入木马,将其变为“矿机”,最终实施非法挖矿活动,据悉该组织曾非法挖矿门罗币获利超370万人民币。对于大部分互联网用户来说,挖矿木马更像是隐藏在互联网角落中的“寄生虫”,隐蔽性极强。该变种挖矿木马具备Windows和Linux双平台攻击能力,目前其主要攻击的目标是Linux服务器。知已知彼方能百战不殆,天融信自适应安全防御系统、EDR等均可精确检测并查杀该变种挖矿木马,有效阻止事件蔓延,而未部署的系统则可能面临失陷。
各平台病毒攻击分析
Windows平台攻击分析
此次针对Windows平台的H2Miner挖矿攻击相对比较简单,具体流程图如下:H2Miner攻击组织利用RCE漏洞及其他攻击手段入侵Windows服务器后,执行PowerShell脚本下载挖矿病毒xmrig.exe和配置文件config.json,并存储在Windows的&temp%目录下,将xmrig.exe重命名为sysupdate.exe并执行,如下图:
为实现自动启动和持续挖矿,创建名称为“Update service for Windows Service”的计划任务,并每隔30分钟启动PowerShell执行更新脚本。
此次攻击中H2Miner使用的矿池地址和钱包地址与2021年批露的完全相同。
矿池地址:
地址 |
45.136.244.146:333 |
37.59.44.193:3333 |
94.23.23.52:3333 |
pool.minexmr.com:3333 |
pool.supportxmr.com:3333 |
钱包地址:
4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC。
该钱包地址最早在2020年12月开始被H2Miner使用。
Linux平台攻击分析
与对Windows的攻击相比,针对Linux平台的攻击相对复杂,具体流程图如下:
攻击者利用RCE漏洞成功入侵Linux服务器后,便植入并运行ap.sh脚本,删除iptables规则,禁用防火墙和watchdog等安全机制。
设置恶意文件释放目录,如果当前登录的是Root用户,会在/etc路径下释放恶意文件。而非Root用户则根据优先级顺序选择恶意文件释放路径,优先选择优先级为1的/tmp目录,如果目录不存在或者不可写,便根据优先级选择下一个路径,应急溯源时建议优先排查以下路径,具体优先级如下:
优先级 | 路径 |
1 | /tmp |
2 | /var/tmp |
3 | $TMP_DIR |
4 | /dev/shm |
从194.38.20.242下载kingsing主体恶意模块、curl-amd64程序和恶意的动态链接库libsystem.so。
为实现资源独占,删除其他挖矿病毒的进程。
设置crontab定时任务每分钟执行一次从备份服务器下载ap.sh,确保ap.sh的持久性。
运行Kinsing主体恶意程序,运行后会根据环境和命令释放加载kdevtmpfsi挖矿程序、firewire端口扫描工具和Spre.sh横向渗透shell模块。
H2Miner涉及到的组件名字及其功能如下:
文件名字 | 功能及作用 |
ap.sh | 原始感染执行的脚本 |
kinsing | 主体恶意程序模块。包含masscan扫描、横向移动、下载后续sh脚本、redis服务爆破、与C&C服务器通信,接收并执行远程命令等功能。 |
kdevtmpfsi | 挖矿程序进程 |
Spre.sh | 横向扩散模块 |
firewire | 端口扫描 |
libsystem.so | 自启动持久化组件 |
Bot | 注册的服务名字 |
五种方式防护病毒攻击
针对H2Miner挖矿木马,可通过以下几种方式加强防御或病毒查杀:
方式一
及时修复系统及应用漏洞,降低被H2Miner通过漏洞入侵的风险。
方式二
关闭不必要的端口、服务和进程,降低资产风险暴露面。
方式三
通过防火墙添加阻断规则,禁止内网主机访问矿池地址。
方式四
更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。
方式五
可安装天融信自适应安全防御系统或者天融信EDR进行主动防御,可有效预防和查杀该挖矿病毒。天融信产品防御配置
1.通过微隔离策略禁止访问矿池地址;
2.通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露;
3.开启病毒实时监测功能,可有效预防和查杀该挖矿病毒;
4.设置CPU资源阈值告警策略,定期检查CPU资源占用较高主机,可快速锁定可疑对象。
目前为期三个月的天融信自适应安全防御系统免费试用活动,已正式开启!欢迎点击试用!
天融信EDR系统防御配置1.通过微隔离策略禁止访问矿池地址;
2.通过漏洞扫描是否存在相关漏洞,降低风险;
3.开启病毒实时监测功能,可有效预防和查杀该挖矿病毒;
4.开启系统加固功能,监控利用PowerShell等工具执行可疑脚本,阻断该病毒感染终端。
天融信产品获取方式
天融信自适应安全防御系统、天融信EDR企业版试用:可通过天融信各地分公司获取(查询网址:http://www.topsec.com.cn/contact/)
天融信EDR单机版下载地址:
http://edr.topsec.com.cn样本IOCs列表
恶意文件 | 哈希值 |
1.ps1 | 0e8d375b94cec260aba8c41ac3221d02 |
ap.sh | 8eda2121c625e1f82e70761059ad0504 |
Kinsing-elf | 648effa354b3cbaad87b45f48d59c616 |
libsystem.so | ccef46c7edf9131ccffc47bd69eb743b |
Spre.sh | 639d87d54aa57371cc0bf82409503311 |
Firewire | 45a7ef83238f5244738bb5e7e3dd6299 |
IP | 194.38.20.242 |
IP | 194.38.20.166 |
IP | 185.191.32.198 |
IP | 185.154.53.140 |
相关阅读
1、天融信EDR落地央财等5所高校,为高校构筑终端安全“护城河”!
2、Hermetic Wiper爆发!天融信由“边”到“端”构筑立体化安全防线
3、重磅!天融信发布《2021年网络空间安全漏洞调研分析报告》
4、综合排名第一!天融信EDR中标中国电信2021防病毒软件集采项目
5、天融信发布Apache Log4j2漏洞处置方案,请抓紧排查升级~