Hezb挖矿木马来袭！天融信多款产品精准防御~

Hezb介绍 .

样本信息

矿池及钱包地址：

根据矿池地址记录，目前，该钱包现在平均算力约150KH/s。

样本分析

本次捕获到的Hezb挖矿木马样本shell、PowerShell和bat脚本长达一千余行，支持Windows和Linux系统，提供的功能非常完善，例如：从SSH密钥、历史记录和配置文件等位置获取凭证、删除注册表自启动项内容、利用CVE-2021-4043漏洞提权、扫描Confluence漏洞、删除挖矿竞争对手的进程等。

Windows平台

kill.bat：

检测当前系统下是否存在挖矿程序。

从服务器202.28.229.174/win/目录下获取mad.bat脚本进行执行。

mad.bat：

为MoneroOcean mining初始默认脚本，其中包含攻击者的钱包地址和其他载荷的下载目录。

获取CPU频率、核心数、缓存大小等信息，并通过公式计得到EXP_MONERO_HASHRATE（每秒可执行哈希量）。

利用EXP_MONERO_HASHRATE进一步计算得到PORT，PORT将会作为后续挖矿时的端口号。

在用户目录下生成挖矿日志信息。

在http://202.28.229.174/win/目录下下载7za.exe和dom.zip。

使用7za.exe解压缩dom.zip。

如果dom.zip压缩文件中存在dom.exe，修改挖矿配置文件中的矿池、钱包、用户名、密码等信息。

如果不存在dom.exe，则从http://202.28.229.174/win/ 目录下下载7za.exe和dom-6.zip,使用7za.exe解压缩dom-6.zip。

创建miner.bat，在脚本中写入运行dom.exe命令，放到系统启动目录下实现持久化。

使用dsm.exe创建服务启动dom.exe，设置线程优先级。

dom.zip和dom-6.zip压缩包中的dom.exe都是采用开源挖矿程序XMRig编译而成，其使用的矿机版本都为：XMRig 6.16.2。

XMRig编译后如下图所示。

Linux平台

ap.sh：

配置样本下载网站以及curl工具下载地址，配置curl工具参数等。

结束市面上常见的挖矿程序。

卸载国内阿里云服务器上的默认安全软件。

配置矿池地址，执行ap.txt脚本以及挖矿程序并重新命名为hezb。

搜索并匹配SSH密钥、历史记录和配置文件路径为：

/.ssh/config，.bash_history，/.ssh/known_hosts

找到与其相对应的身份验证的信息，检查：

~/.ssh/config、~/.bash_history和.ssh/known_hosts搜集信息，通过SSH进行尝试连接。

从http://202.28.229.174下载二进制文件kik并执行。

ap.txt：

查看当前进程是否存在hezb，如果没有，重新下载ap.sh脚本并执行。

ldr.sh：

ldr.sh与ap.sh脚本大体代码相同，只有矿池地址和钱包地址有所不同，下载的文件名称为kthmimu.txt，与ap.txt内容相同。推测该脚本为ap.sh的升级版本或测试版本。

Ko：

该二进制文件经过搜索字符串特征判断为CVE-2021-4034漏洞利用程序， 成功利用漏洞后会使本地权限提升。

kik：

kik 是一个静态链接的64位Golang  ELF二进制文件。此二进制文件尝试匹配特定值，同时排除其他值并将结果值通过管道传递给“kill -9”。这是在一个循环中执行，将“命令执行成功”打印到标准输出。

下载的主体挖矿程序为sys._x86_64重命名为hezb,是用开源挖矿程序XMRig6.16.4版本改编编译而成，自己命名为6.16.5版本。

防护建议

1、及时更新WSO2和Confluence补丁可避免感染该挖矿木马。

2、已购买天融信僵尸网络木马和蠕虫监测与处置系统（TopTVD）、天融信入侵检测系统（TopSentry）新版本、天融信入侵防御系统（TopIDP）新版本的客户，可以升级僵尸主机规则库进行有效监测防护。

僵尸主机规则库版本号：

ngtvd-v2022.07.11.001

下载地址：

ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(NGIDP)/僵尸主机规则库/ngtvd-v2022.07.11.001.tor

产品咨询

相关阅读

1、“云、网、端”联动协防！“挖矿”病毒无处可藏

2、五大招式，双重联动！天融信漏扫硬核防范“挖矿”攻击

3、TeamTNT变种挖矿木马再活跃！天融信“云+边+端”精准防御

4、小心你的服务器变“矿机”！天融信捕获变异H2Miner挖矿木马