91免费精品国自产拍在线不卡,久久性生大片免费观看性,亚洲成在人线av,男女天天射天天干网站,欧美一区二区三区四区视频,亚洲黄视频在线观看,国产123 ,亚洲久无码中文字幕热,国偷自产一区二区免费视频,最近更新中文字幕2022国语在线,亚洲中文久久无码精品 ,亚洲第一综合天堂另类专_国产亚洲欧美在线观看三区_亚洲国产综合专区在线播放

北京天融信科技有限公司

免費(fèi)會(huì)員·4年

您現(xiàn)在的位置：首頁(yè)> 公司動(dòng)態(tài)> 小心你的服務(wù)器變“礦機(jī)”！天融信捕獲變異H2Miner挖礦木馬

產(chǎn)品分類(lèi)品牌

云安全

北京天融信科技有限公司

免費(fèi)會(huì)員·4年

聯(lián)系人：: 李天昊

在線咨詢(xún)給我留言

掃一掃訪問(wèn)手機(jī)商鋪

小心你的服務(wù)器變“礦機(jī)”！天融信捕獲變異H2Miner挖礦木馬

2024-4-12　　閱讀(14)

近日，天融信諦聽(tīng)實(shí)驗(yàn)室捕獲到H2Miner組織挖礦木馬變種樣本。H2Miner組織活躍于2019年底，善于利用披露的RCE漏洞進(jìn)行“撕口子"滲透攻擊，對(duì)目標(biāo)服務(wù)器植入木馬，將其變?yōu)椤暗V機(jī)"，最終實(shí)施非法挖礦活動(dòng)，據(jù)悉該組織曾非法挖礦門(mén)羅幣獲利超370萬(wàn)人民幣。

挖礦木馬出現(xiàn)于2012年，加密數(shù)字貨幣價(jià)格自2017年開(kāi)始暴漲，門(mén)羅幣等匿名幣的出現(xiàn)，其不可追蹤、抗ASIC礦機(jī)的特性使得服務(wù)器的計(jì)算資源變得有利可圖。自2018年以來(lái)，挖礦木馬已成為互聯(lián)網(wǎng)中存在的主要安全威脅。

對(duì)于大部分互聯(lián)網(wǎng)用戶(hù)來(lái)說(shuō)，挖礦木馬更像是隱藏在互聯(lián)網(wǎng)角落中的“寄生蟲(chóng)"，隱蔽性。該變種挖礦木馬具備Windows和Linux雙平臺(tái)攻擊能力，目前其主要攻擊的目標(biāo)是Linux服務(wù)器。知已知彼方能百戰(zhàn)不殆，天融信自適應(yīng)安全防御系統(tǒng)、EDR等均可精確檢測(cè)并查殺該變種挖礦木馬，有效阻止事件蔓延，而未部署的系統(tǒng)則可能面臨失陷。

各平臺(tái)病毒攻擊分析

Windows平臺(tái)攻擊分析

此次針對(duì)Windows平臺(tái)的H2Miner挖礦攻擊相對(duì)比較簡(jiǎn)單，具體流程圖如下

H2Miner攻擊組織利用RCE漏洞及其他攻擊手段入侵Windows服務(wù)器后，執(zhí)行PowerShell腳本下載挖礦病毒xmrig.exe和配置文件config.json,并存儲(chǔ)在Windows的&temp%目錄下，將xmrig.exe重命名為sysupdate.exe并執(zhí)行，如下圖：

為實(shí)現(xiàn)自動(dòng)啟動(dòng)和持續(xù)挖礦，創(chuàng)建名稱(chēng)為“Update service for Windows Service"的計(jì)劃任務(wù)，并每隔30分鐘啟動(dòng)PowerShell執(zhí)行更新腳本。

此次攻擊中H2Miner使用的礦池地址和錢(qián)包地址與2021年批露的相同。

礦池地址：

地址

45.136.244.146:333

37.59.44.193:3333

94.23.23.52:3333

pool.minexmr.com:3333

pool.supportxmr.com:3333

錢(qián)包地址：

4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC。

該錢(qián)包地址在2020年12月開(kāi)始被H2Miner使用。

Linux平臺(tái)攻擊分析

與對(duì)Windows的攻擊相比，針對(duì)Linux平臺(tái)的攻擊相對(duì)復(fù)雜，具體流程圖如下：

攻擊者利用RCE漏洞成功入侵Linux服務(wù)器后，便植入并運(yùn)行ap.sh腳本，刪除iptables規(guī)則，禁用防火墻和watchdog等安全機(jī)制。

設(shè)置惡意文件釋放目錄，如果當(dāng)前登錄的是Root用戶(hù)，會(huì)在/etc路徑下釋放惡意文件。而非Root用戶(hù)則根據(jù)優(yōu)先級(jí)順序選擇惡意文件釋放路徑，優(yōu)先選擇優(yōu)先級(jí)為1的/tmp目錄，如果目錄不存在或者不可寫(xiě)，便根據(jù)優(yōu)先級(jí)選擇下一個(gè)路徑，應(yīng)急溯源時(shí)建議優(yōu)先排查以下路徑，具體優(yōu)先級(jí)如下：

優(yōu)先級(jí)	路徑
1	/tmp
2	/var/tmp
3	$TMP_DIR
4	/dev/shm

從194.38.20.242下載kingsing主體惡意模塊、curl-amd64程序和惡意的動(dòng)態(tài)鏈接庫(kù)libsystem.so。

為實(shí)現(xiàn)資源獨(dú)占，刪除其他挖礦病毒的進(jìn)程。

刪除其他挖礦病毒植入的計(jì)劃任務(wù)。

設(shè)置crontab定時(shí)任務(wù)每分鐘執(zhí)行一次從備份服務(wù)器下載ap.sh，確保ap.sh的持久性。

運(yùn)行Kinsing主體惡意程序，運(yùn)行后會(huì)根據(jù)環(huán)境和命令釋放加載kdevtmpfsi挖礦程序、firewire端口掃描工具和Spre.sh橫向滲透shell模塊。

undefined

H2Miner涉及到的組件名字及其功能如下：

文件名字	功能及作用
ap.sh	原始感染執(zhí)行的腳本
kinsing	主體惡意程序模塊。包含masscan掃描、橫向移動(dòng)、下載后續(xù)sh腳本、redis服務(wù)爆破、與C&C服務(wù)器通信，接收并執(zhí)行遠(yuǎn)程命令等功能。
kdevtmpfsi	挖礦程序進(jìn)程
Spre.sh	橫向擴(kuò)散模塊
firewire	端口掃描
libsystem.so	自啟動(dòng)持久化組件
Bot	注冊(cè)的服務(wù)名字

五種方式防護(hù)病毒攻擊

針對(duì)H2Miner挖礦木馬，可通過(guò)以下幾種方式加強(qiáng)防御或病毒查殺：

方式一

及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被H2Miner通過(guò)漏洞入侵的風(fēng)險(xiǎn)。

方式二

關(guān)閉不必要的端口、服務(wù)和進(jìn)程，降低資產(chǎn)風(fēng)險(xiǎn)暴露面。

方式三

通過(guò)防火墻添加阻斷規(guī)則，禁止內(nèi)網(wǎng)主機(jī)訪問(wèn)礦池地址。

方式四

更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強(qiáng)度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

方式五

可安裝天融信自適應(yīng)安全防御系統(tǒng)或者天融信EDR進(jìn)行主動(dòng)防御，可有效預(yù)防和查殺該挖礦病毒。

undefined

天融信產(chǎn)品防御配置

天融信自適應(yīng)安全防御系統(tǒng)防御配置

1.通過(guò)微隔離策略禁止訪問(wèn)礦池地址；

2.通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露；

3.開(kāi)啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該挖礦病毒；

4.設(shè)置CPU資源閾值告警策略，定期檢查CPU資源占用較高主機(jī)，可快速鎖定可疑對(duì)象。

目前為期三個(gè)月的天融信自適應(yīng)安全防御系統(tǒng)免費(fèi)試用活動(dòng)，已正式開(kāi)啟！歡迎點(diǎn)擊試用！

天融信EDR系統(tǒng)防御配置

1.通過(guò)微隔離策略禁止訪問(wèn)礦池地址；

2.通過(guò)漏洞掃描是否存在相關(guān)漏洞，降低風(fēng)險(xiǎn)；

3.開(kāi)啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該挖礦病毒；

4.開(kāi)啟系統(tǒng)加固功能，監(jiān)控利用PowerShell等工具執(zhí)行可疑腳本，阻斷該病毒感染終端。

天融信產(chǎn)品獲取方式

天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR企業(yè)版試用：可通過(guò)天融信各地分公司獲取（查詢(xún)：.cn/contact/）

天融信EDR單機(jī)版下載地址：

.cn

樣本IOCs列表

惡意文件	哈希值
1.ps1	0e8d375b94cec260aba8c41ac3221d02
ap.sh	8eda2121c625e1f82ead0504
Kinsing-elf	648effa354b3cbaad87b45f48d59c616
libsystem.so	ccef46c7edf9131ccffc47bd69eb743b
Spre.sh	639d87d54aa57371cc0bf
Firewire	45a7ef83238f5244738bb5e7e3dd6299
IP	194.38.20.242
IP	194.38.20.166
IP	185.191.32.198
IP	185.154.53.140