Der H2Miner-Virus dringt in die Windows-/Linux-Plattform ein. Achten Sie auf die langfristige Persistenz von Mining-Programmen

H2Miner

Vorsichtsstufe★★★

Betroffene Plattformen: Windows/Linux

Beschreibung des Virusausführungskörpers

Angreifer nutzen Schwachstellen, um in Windows- und Linux-Plattformen einzudringen. Auf der Windows-Plattform lädt der angreifende Host die XML-Datei wbw.xml herunter und führt sie aus, führt einen PowerShell-Befehl in der XML-Datei aus und lädt ein Skript namens 1.ps1 herunter. Dieses Skript lädt das Mining-Programm und die Mining-Konfigurationsdatei herunter und benennt sie um Ausführung: Erstellen Sie eine geplante Aufgabe und führen Sie das Skript 1.ps1 alle 30 Minuten aus, um Persistenz zu erreichen und das ganze Jahr über auf der Linux-Plattform zu bleiben. Der Angriffshost lädt eine XML-Datei mit dem Namen wb.xml herunter und führt sie aus Mit der gleichen Methode wird ein Bash-Skript erstellt und nach der Ausführung das Mining-Skript heruntergeladen. Zu seinen Hauptfunktionen gehören das Entfernen konkurrierender Mining-Programme und geplanter Aufgaben, die MD5-Kalibrierung, das Deinstallieren von Sicherheitssoftware sowie das Herunterladen und Ausführen der Kinsing-Malware. Zusätzlich zu ihrer Mining-Funktion öffnet die Kinsing-Malware Seitentüren und massenhaft Port-Scan-Funktionen auf dem abgestürzten Host und stellt eine Verbindung zum C2-Server her, um Informationen wie Versionsnummer, Anzahl der Kerne, Speicherinformationen, Betriebssysteminformationen usw. hochzuladen Root-Berechtigungen und UUID werden eingeholt usw. Und es werden nachfolgende Skripte für die vertikale Verbindung usw. heruntergeladen.

Kommunikationskanal der Windows-Plattform

Auf der Windows-Plattform sendet der Angreifer ein erstelltes Datenpaket an den Opfer-Host und platziert den ausführbaren Codeteil im Paket in der XML-Datei des Remote-Servers. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, greift der Opfer-Host auf den Angreifer zu Richtet eine XML-Datei auf dem Remote-Server ein und analysiert sie zur Ausführung.

Linux-Plattform-Kommunikationskanal

Die Verbreitung der Linux-Plattform ist dasselbe wie die Verbreitung der Windows-Plattform. Außerdem wird ein erstelltes Datenpaket an den Opfer-Host gesendet und der ausführbare Codeteil im Paket in der XML-Datei des Remote-Servers installiert Opfer Der Host greift auf die XML-Datei des Linux-E-Books des vom Angreifer eingerichteten Remote-Servers zu, analysiert sie und führt sie aus.

Nachdem wir die Proben nach dem Anschlagsskandal sortiert haben, haben wir folgende Informationen erhalten:

Anatomie von Windows-Beispielen

1.ps1

Definieren Sie den Download-Pfad der Adresse und Konfigurationsdatei des Monero-Mining-Programms sowie den Speicherpfad, den Namen des Mining-Programms und andere Informationen:

Laden Sie das Mining-Programm herunter, speichern Sie das Mining-Programm im TMP-Verzeichnis und benennen Sie es in sysupdate.exe um.

Laden Sie die Mining-Konfigurationsdatei herunter, speichern Sie die Konfigurationsdatei im TMP-Verzeichnis und benennen Sie sie in config.json um.

Aktualisieren Sie das Programm und erstellen Sie eine geplante Aufgabe, erstellen Sie eine geplante Aufgabe mit dem Namen Updateservice für WindowsService und wiederholen Sie diese alle 30 Minuten auf unbestimmte Zeit. Diese geplante Aufgabe verwendet PowerShell, um das Skript 1.ps1 auszuführen.

Konfigurationsdatei config.json

Die Konfigurationsdatei enthält 5 Mining-Pool-Adressen. Die Wallet-Adressen lauten alle 4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC. Das Folgende ist Teil des Inhalts in der Konfigurationsdatei:

Linux-Beispielanalyse

md.sh

Laden Sie zwei Skriptdateien herunter. Die Funktion der beiden Skriptdateien besteht darin, die Sicherheitssoftware auf dem infizierten Host zu deinstallieren.

Entfernen Sie das Mining-Programm von Konkurrenzprodukten.

Entfernen Sie geplante Aufgaben von Konkurrenzprodukten.

Kinning-Malware

Bergbau

Nachdem das Beispiel ausgeführt wurde, wird ein Mining-Programm namens kdevtmpfsi im tmp-Verzeichnis erstellt und ausgeführt.

Seitentürfunktion

Dieser Seitentürcode kann beliebige Befehle auf dem Host ausführen.

Massenscan

Erstellen Sie eine Skriptdatei mit dem Namen firewire.sh. Diese Skriptdatei verfügt über einen externen MD5-Hashwert, der als Masscan-Scanner verifiziert ist. masscan ist ein leistungsstarker Portscanner, der ähnlich wie das Nmap-Tool funktioniert.

C2-Kommunikation

Die Malware kommuniziert über HTTP mit dem C2-Server und der angreifende Host fordert die Übermittlung von Systemstatus- und Systemressourceninformationen an, z. B. die Anzahl der Kerne, Speicherinformationen, Betriebssysteminformationen, ob Root-Berechtigungen und UUID erhalten werden sollen usw. Alle diese Parameter werden mithilfe benutzerdefinierter HTTP-Header an den C2-Server gesendet.

Der angreifende Host fordert den C2-Server kontinuierlich über get an, und das Sign-Array ist das bösartige Shell-Skript, das nach der Antwort des Servers übergeben wird.

Der angreifende Host verwendet /mg, um den C2-Server anzufordern. Der angreifende Host verwendet JSON-RPC, um die Hostinformationen über HTTP zu senden.

Laden Sie das Skript cron.sh herunter, dessen Funktion darin besteht, das konkurrierende Produkt-Mining-Programm zu beenden.

Laden Sie das Skript spre.sh herunter. Das Skript sucht nach /.ssh/config, .bash_history und /.ssh/known_hosts, um das Angriffsziel zu ermitteln, die entsprechenden Informationen zur Identitätsüberprüfung zu finden und ssh/config zu erkennen , ~/.bash_history und .ssh/known_hosts versuchen, Vorgänge wie vertikale Verbindungen auszuführen.

Beziehungsanalyse

Durch Korrelationsanalyse haben wir eine weitere Skriptdatei xx.sh auf den Vermögenswerten der Organisation gefunden. Die Funktion von xx.sh besteht darin, ein Rootkit namens libsystem.so und andere Malware von 194.38.20.199/libsystem.so herunterzuladen. Andere Skripte laden das Rootkit dann vorab in /etc/ld.so.preload.

Das Skript registriert außerdem einen Systemdienst für die Persistenz, der den Host regelmäßig erneut infiziert.

Vorbeugung, Behandlung und Beseitigung:

Klicken Sie nicht auf unbekannte Websites; öffnen Sie unbekannte E-Mail-Anhänge; aktualisieren Sie regelmäßig die Virendatenbank Ihrer Antivirensoftware. Schalten Sie die Notebook-Freigabefunktion und die Funktion aus, die eine Remote-Verbindung zum Notebook ermöglicht. Installieren Sie die neuesten Systempatches.

Trojan.Linux.MINER.C

Vorsichtsstufe★★★

Betroffene Plattformen:Linux

Beschreibung des Virusausführungskörpers

KürzlichLinux-Online-Spiele wurde die neueste Variantendatei des DDG-Mining-Trojaners beschlagnahmt. Diese Variante richtet sich hauptsächlich an Cloud-Hosts. Basierend auf früheren Versionen ist eine Ebene des Elf-Release-Virus-Shell-Skripts eingebettet Produkte, um den Zweck des ausschließlichen Abbaus von Systemressourcen zu erreichen. Sein Name ist: Trojan.Linux.MINER.C.

Der Viruskörper ist eine Elf-Datei:

Verwenden Sie readlink, um den Pfad Ihrer eigenen Prozessdatei zu lesen:

Enthüllen Sie die Shell-Codes in den Ressourcen. Die enthüllten Codes sind alle Base64-verschlüsselte Shells:

Erstellen Sie die Datei 01 im Ordner .X11-unix. Diese Datei wird zum Speichern der Virusprozess-PID nach dem späteren Ausführen der Shell verwendet:

Die Shell, die das Geheimnis endlich ausführt:

Die erste Shell-Enthüllung:

Dieses Skript ist der Daemon-Prozess des Mining-Programms. Es wird hauptsächlich verwendet, um zu überwachen, ob das Mining-Programm ausgeführt wird.

Dieses Skript verwendet don, um Domänennamen aufzulösen und über den Tor-Proxy herunterzuladen und zu minen. Wie bei anderen Varianten besteht seine Hauptfunktion darin, die IDS-Abwehr großer Sicherheitsanbieter zu umgehen.

So können Sie feststellen, ob das Mining-Programm ausgeführt wird, wie im Bild rechts gezeigt. Sie können feststellen, ob der Mining-Prozess in .x11-unix/01 aufgezeichnet wird. Wenn diese PID nicht vorhanden ist, a Der Bergbau wird neu gestartet:

Die erste Zeile dieses Skripts 20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S ist der Dateiname der lokal gespeicherten Shell-Datei und der zugehörigen geplanten Aufgaben:

Nachdem ich es geöffnet hatte, fand ich dieses Skript:

Das zweite Shell-Skript ist im Grunde dasselbe wie das erste Shell-Skript.

Das dritte Shell-Skript wird hauptsächlich zum Löschen konkurrierender Product-Mining-Viren verwendet.

Löschen Sie geplante Aufgaben und Dateien konkurrierender Mining-Viren, um Systemressourcen zu monopolisieren. Wir haben darin die Variante unix.db gefunden, und AsiaInfo hatte diese Variante bereits Mitte 2020 erfasst

Beenden Sie Prozesse im Zusammenhang mit dem folgenden Einsatz:

Löschen Sie die Shell-Dateien konkurrierender Mining-Produkte und beenden Sie die Prozesse mit hoher CPU-Auslastung im System.

Beenden Sie den Prozess mit der folgenden Zeichenfolge. Prozesse wie kthreadi sind ebenfalls häufige Mining-Viren unter Linux.

Die vierte Shell ist das Ausbreitungsmodul und das Ende einiger Cloud-Host-Dienste.

Beenden Sie Cloud-Host-bezogene Dienste und Dateien.

knifessh ruft SSH-Befehle auf allen Knoten aufLinux-Onlinespiele Nachdem der Befehl enthüllt wurde, ist es die erste Shell

Use saltstack’s cmd.run module to uniformly execute mining on subordinate machines.

Spread with pssh

Get the hosts that have been communicated with and try to connect.

Interactive password input will not be displayed when connecting to a remote host. The other party's private key will be actively added to known-hosts without prompting the user whether to record such information. And when the private key of the remote host changes, The Linux serial port driver will still be connected, and there will be no connection failure due to mismatched private keys.

ansibleall-mshell-a logs into other hosts and spreads:

Prevention, treatment and elimination:

Do not click on unknown websites; open unknown email attachments; regularly update the virus database of your anti-virus software. It is best to turn on the manual virus database update function of your anti-virus software. Turn off the notebook sharing function and turn off the function that allows remote connection to the notebook. Install the latest system patches.

Tips for fishing sites:

1. Fake Amazon fishing net:

Disadvantages: Obtaining user email account and password information.

2. Fake PDF phishing net:

Disadvantages: Obtaining user account and password information.

3. Fake Paypal fishing net:

Disadvantages: Obtaining user account and password information.

4. Fake Tencent game phishing website:

Disadvantages: Obtaining user credit card number and password information.

5. Fake Gmail phishing website

Disadvantages: Obtaining user email account and password information.

Never open websites like the above and keep your computer’s network firewall open.

The above information is provided by Tianjin Network and Information Security Emergency Management Center

Das obige ist der detaillierte Inhalt vonDer H2Miner-Virus dringt in die Windows-/Linux-Plattform ein. Achten Sie auf die langfristige Persistenz von Mining-Programmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!