北京天融信科技有限公司
近日,天融信諦聽(tīng)實(shí)驗(yàn)室捕獲到H2Miner組織挖礦木馬變種樣本。H2Miner組織活躍于2019年底,善于利用披露的RCE漏洞進(jìn)行“撕口子"滲透攻擊,對(duì)目標(biāo)服務(wù)器植入木馬,將其變?yōu)椤暗V機(jī)",最終實(shí)施非法挖礦活動(dòng),據(jù)悉該組織曾非法挖礦門(mén)羅幣獲利超370萬(wàn)人民幣。
各平臺(tái)病毒攻擊分析
Windows平臺(tái)攻擊分析
H2Miner攻擊組織利用RCE漏洞及其他攻擊手段入侵Windows服務(wù)器后,執(zhí)行PowerShell腳本下載挖礦病毒xmrig.exe和配置文件config.json,并存儲(chǔ)在Windows的&temp%目錄下,將xmrig.exe重命名為sysupdate.exe并執(zhí)行,如下圖:
為實(shí)現(xiàn)自動(dòng)啟動(dòng)和持續(xù)挖礦,創(chuàng)建名稱(chēng)為“Update service for Windows Service"的計(jì)劃任務(wù),并每隔30分鐘啟動(dòng)PowerShell執(zhí)行更新腳本。
此次攻擊中H2Miner使用的礦池地址和錢(qián)包地址與2021年批露的相同。
礦池地址:
地址 |
45.136.244.146:333 |
37.59.44.193:3333 |
94.23.23.52:3333 |
pool.minexmr.com:3333 |
pool.supportxmr.com:3333 |
錢(qián)包地址:
4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC。
該錢(qián)包地址在2020年12月開(kāi)始被H2Miner使用。
Linux平臺(tái)攻擊分析
與對(duì)Windows的攻擊相比,針對(duì)Linux平臺(tái)的攻擊相對(duì)復(fù)雜,具體流程圖如下:
攻擊者利用RCE漏洞成功入侵Linux服務(wù)器后,便植入并運(yùn)行ap.sh腳本,刪除iptables規(guī)則,禁用防火墻和watchdog等安全機(jī)制。

設(shè)置惡意文件釋放目錄,如果當(dāng)前登錄的是Root用戶(hù),會(huì)在/etc路徑下釋放惡意文件。而非Root用戶(hù)則根據(jù)優(yōu)先級(jí)順序選擇惡意文件釋放路徑,優(yōu)先選擇優(yōu)先級(jí)為1的/tmp目錄,如果目錄不存在或者不可寫(xiě),便根據(jù)優(yōu)先級(jí)選擇下一個(gè)路徑,應(yīng)急溯源時(shí)建議優(yōu)先排查以下路徑,具體優(yōu)先級(jí)如下:
優(yōu)先級(jí) | 路徑 |
1 | /tmp |
2 | /var/tmp |
3 | $TMP_DIR |
4 | /dev/shm |
從194.38.20.242下載kingsing主體惡意模塊、curl-amd64程序和惡意的動(dòng)態(tài)鏈接庫(kù)libsystem.so。

為實(shí)現(xiàn)資源獨(dú)占,刪除其他挖礦病毒的進(jìn)程。


設(shè)置crontab定時(shí)任務(wù)每分鐘執(zhí)行一次從備份服務(wù)器下載ap.sh,確保ap.sh的持久性。

運(yùn)行Kinsing主體惡意程序,運(yùn)行后會(huì)根據(jù)環(huán)境和命令釋放加載kdevtmpfsi挖礦程序、firewire端口掃描工具和Spre.sh橫向滲透shell模塊。
H2Miner涉及到的組件名字及其功能如下:
文件名字 | 功能及作用 |
ap.sh | 原始感染執(zhí)行的腳本 |
kinsing | 主體惡意程序模塊。包含masscan掃描、橫向移動(dòng)、下載后續(xù)sh腳本、redis服務(wù)爆破、與C&C服務(wù)器通信,接收并執(zhí)行遠(yuǎn)程命令等功能。 |
kdevtmpfsi | 挖礦程序進(jìn)程 |
Spre.sh | 橫向擴(kuò)散模塊 |
firewire | 端口掃描 |
libsystem.so | 自啟動(dòng)持久化組件 |
Bot | 注冊(cè)的服務(wù)名字 |
五種方式防護(hù)病毒攻擊
針對(duì)H2Miner挖礦木馬,可通過(guò)以下幾種方式加強(qiáng)防御或病毒查殺:
方式一
及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞,降低被H2Miner通過(guò)漏洞入侵的風(fēng)險(xiǎn)。
方式二
關(guān)閉不必要的端口、服務(wù)和進(jìn)程,降低資產(chǎn)風(fēng)險(xiǎn)暴露面。
方式三
通過(guò)防火墻添加阻斷規(guī)則,禁止內(nèi)網(wǎng)主機(jī)訪問(wèn)礦池地址。
方式四
更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼,配置高強(qiáng)度密碼認(rèn)證,并定期更新密碼,防止弱口令攻擊。
方式五
天融信產(chǎn)品防御配置
天融信自適應(yīng)安全防御系統(tǒng)防御配置
1.通過(guò)微隔離策略禁止訪問(wèn)礦池地址;
2.通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令,降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露;
3.開(kāi)啟病毒實(shí)時(shí)監(jiān)測(cè)功能,可有效預(yù)防和查殺該挖礦病毒;
4.設(shè)置CPU資源閾值告警策略,定期檢查CPU資源占用較高主機(jī),可快速鎖定可疑對(duì)象。
目前為期三個(gè)月的天融信自適應(yīng)安全防御系統(tǒng)免費(fèi)試用活動(dòng),已正式開(kāi)啟!歡迎點(diǎn)擊試用!
天融信EDR系統(tǒng)防御配置
1.通過(guò)微隔離策略禁止訪問(wèn)礦池地址;
2.通過(guò)漏洞掃描是否存在相關(guān)漏洞,降低風(fēng)險(xiǎn);
3.開(kāi)啟病毒實(shí)時(shí)監(jiān)測(cè)功能,可有效預(yù)防和查殺該挖礦病毒;
4.開(kāi)啟系統(tǒng)加固功能,監(jiān)控利用PowerShell等工具執(zhí)行可疑腳本,阻斷該病毒感染終端。
天融信產(chǎn)品獲取方式
天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR企業(yè)版試用:可通過(guò)天融信各地分公司獲取(查詢(xún):.cn/contact/)
天融信EDR單機(jī)版下載地址:
.cn
樣本IOCs列表
惡意文件 | 哈希值 |
1.ps1 | 0e8d375b94cec260aba8c41ac3221d02 |
ap.sh | 8eda2121c625e1f82ead0504 |
Kinsing-elf | 648effa354b3cbaad87b45f48d59c616 |
libsystem.so | ccef46c7edf9131ccffc47bd69eb743b |
Spre.sh | 639d87d54aa57371cc0bf |
Firewire | 45a7ef83238f5244738bb5e7e3dd6299 |
IP | 194.38.20.242 |
IP | 194.38.20.166 |
IP | 185.191.32.198 |
IP | 185.154.53.140 |