H2Miner
警惕程度 ★★★
影响平台: Windows/Linux
病毒执行体描述
攻击者利用漏洞入侵Windows平台和Linux平台。在Windows平台中,失陷主机下载并执行wbw.xml的XML文件,在XML文件中执行一段PowerShell命令,下载名为1.ps1的脚本,该脚本下载挖矿程序以及挖矿的配置文件并重命名执行,创建计划任务每30分钟执行一次1.ps1脚本,实现持久化长期驻留失陷主机;在Linux平台中,失陷主机下载并执行名为wb.xml的XML文件,该XML文件使用同样的手法内嵌了一段bash脚本,执行后下载挖矿脚本,主要功能包括清除竞品挖矿程序和计划任务、MD5校验、卸载安全软件和下载Kinsing恶意软件并执行等。Kinsing恶意软件不仅具有挖矿功能,还会在失陷主机上开放后门以及masscan端口扫描等功能,连接C2服务器上传版本号、内核数量、内存信息、操作系统信息、是否获得Root 权限和Uuid等信息,并会下载后续脚本进行横向移动等。
Windows平台传播途径
在Windows平台中,攻击者向受害主机发送一个构造好的数据包,将该数据包中的可执行代码部分架设在远程服务器的XML文件中,当漏洞利用成功后,受害主机就会访问攻击者架设远程服务器的XML文件,并解析执行。
Linux平台传播途径
Linux平台传播与Windows平台传播途径一样,同样向受害主机上发送构造好的数据包,将该数据包中的可执行代码部分架设在远程服务器的XML文件中,当漏洞利用成功后,受害主机就会访问攻击者架设远程服务器的XML文件,并解析执行。
根据攻击事件对样本进行梳理得到如下信息:
Windows样本分析
1.ps1
定义门罗币挖矿程序地址和配置文件的下载路径以及保存路径和挖矿程序名等信息:
下载挖矿程序,并将挖矿程序保存在TMP目录下,并重命名为sysupdate.exe。
下载挖矿配置文件,并将配置文件保存在TMP目录下,并重命名为config.json。
更新程序和创建计划任务,创建名为Update service for Windows Service的计划任务,无限期地每隔30分钟重复一次。该计划任务使用PowerShell执行1.ps1脚本。
配置文件config.json
配置文件中有5个矿池地址,钱包地址均为4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC,以下为配置文件中部分内容:
Linux样本分析
md.sh
下载两个脚本文件,两个脚本文件的作用是卸载被感染主机上的安全软件。
清除竞品的挖矿程序。
清除竞品的计划任务。
kinsing恶意软件
挖矿
样本执行后,会在tmp目录下创建名为kdevtmpfsi的挖矿程序并执行。
后门功能
该后门代码可以实现在主机上执行任意命令。
masscan扫描
创建名为firewire.sh的脚本文件,该脚本文件中内置了一个MD5哈希值,该哈希值经验证,为masscan扫描器。masscan 是一个高性能的端口扫描器,它的功能类似于nmap工具。
C2通信
恶意软件通过 HTTP 与 C2 服务器进行通信,失陷主机会请求发送系统状态和系统资源信息,例如内核数量、内存信息、操作系统信息、是否获得Root 权限和UUID等。所有这些参数都使用自定义 HTTP 头发送给 C2 服务器。
失陷主机不断通过get请求C2服务器,Sign字段为服务器响应后传递的恶意 Shell 脚本。
失陷主机会使用/mg对C2服务器进行请求,C2服务器会响应几个字符,失陷主机使用 JSON-RPC 的形式通过 HTTP 发送主机信息。
下载cron.sh脚本,功能是结束竞品挖矿程序。
下载spre.sh脚本,脚本会从/.ssh/config,.bash_history, /.ssh/known_hosts进行搜索和匹配,来发现攻击目标,并找到与其相对应的身份验证的信息,检查~/.ssh/config、~/.bash_history和.ssh/known_hosts尝试进行横向移动等操作。
关联分析
通过关联分析,我们找到该组织的资产上另一个脚本文件xx.sh,xx.sh的功能是从 194.38.20.199/libsystem.so处下载名为 libsystem.so的Rootkit以及其他恶意软件。然后其他脚本将该 Rootkit预加载到/etc/ld.so.preload。
该脚本还注册一个定期重新感染主机的系统服务来持久化。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Trojan.Linux.MINER.C
警惕程度 ★★★
影响平台: Linux
近日,截获了DDG挖矿木马的最新变种文件,此变种主要针对云主机,在以往版本的基础上嵌套了一层elf释放病毒shell脚本,该变种还会终止竞品挖矿,达到独占系统资源挖矿的目的。其命名为:Trojan.Linux.MINER.C。
病毒本体为elf文件:
使用readlink读取自身进程文件所在路径:
解密资源中的shell代码,其中解密后代码均为base64加密的shell:
在文件夹.X11-unix中创建01文件,此文件用于后续运行shell后存放病毒进程pid:
最后执行解密的shell:
第一段shell解密:
此脚本为挖矿程序的守护进程,主要用于监控挖矿程序是否正在运行,若停止运行则下载挖矿程序。
此脚本使用don解析域名,通过tor代理下载挖矿,和其他变种一样主要作用为绕过各大安全厂商的IDS防御。
判断挖矿程序是否运行的方法如下图所示,通过获取.x11-unix/01中记录的挖矿进程来判断是否正在挖矿,若不存在此pid会重新启动一个挖矿:
此脚本第一行20ossFop8vsbH1 fjszMJoolZE29S为shell文件保存在本地的文件名以及相关计划任务:
打开后发现就是此脚本:
第二段shell脚本和第一个shell脚本基本一致。
第三段shell脚本主要用于删除竞品挖矿病毒。
过删除同类竞品挖矿病毒的计划任务以及文件,以达到独占系统资源的目的。我们在其中发现了unix.db变种,亚信安全早在2020年中已经捕获到此变种
结束与以下外联相关的进程:
删除竞品挖矿的shell文件并结束系统中高占用cpu的进程。
结束带有以下字符串的进程,其中kthreadi等进程也是linux中常见的挖矿病毒。
第四段shell为传播模块,以及结束一些云主机的服务。
结束云主机相关的服务和文件。
knife ssh在所有的节点上调用SSH命令,命令解密后即为第一段shell
使用saltstack的cmd.run模块对下属机器统一执行挖矿。
利用pssh传播
获取通讯过的hosts,并尝试连接。
在连接远程主机时不会显示交互式口令输入,会主动把对方的公钥加到known-hosts中,而不会提示用户是否要记录这样的信息,且当远程主机的公钥变化了,仍然会连接上,不会出现因为公钥不对连接失败。
ansible all-m shell-a登录其他主机传播:
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
1、假冒亚马逊类钓鱼网:
https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
危害:骗取用户邮箱账号及密码信息。
2、假冒PDF类钓鱼网:
http://www.capelini.com.br/adobeCom/inc/
危害:骗取用户账号及密码信息。
3、假冒Paypal类钓鱼网:
http://www.skblibrary.org.in/cottonlibrary/a
危害:骗取用户账号及密码信息。
4、假冒腾讯游戏类钓鱼网站:
http://www.dnf233.com/
危害:骗取用户信用卡号及密码信息。
5、假冒Gmail类钓鱼网站
http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
危害:骗取用户邮箱账号及密码信息。
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供