H2Miner ウイルスが Windows/Linux プラットフォームに侵入、マイニング プログラムの長期存続に注意

H2Mineur

Niveau de prudence★★★

Plateformes concernées : Windows/Linux

Description du corps d'exécution du virus

Les attaquants utilisent des vulnérabilités pour envahir les plateformes Windows et Linux. Sur la plate-forme Windows, l'hôte attaquant télécharge et exécute le fichier XML wbw.xml, exécute une commande PowerShell dans le fichier XML et télécharge un script nommé 1.ps1. Ce script télécharge le programme d'exploration de données et le fichier de configuration d'exploration de données et les renomme. , créez une tâche planifiée et exécutez le script 1.ps1 toutes les 30 minutes pour assurer la persistance et rester sur l'hôte d'attaque toute l'année ; sur la plate-forme Linux, l'hôte d'attaque télécharge et exécute un fichier XML nommé wb.xml, qui est intégré en utilisant la même méthode. Un script bash est créé et après exécution, le script de minage est téléchargé. Ses principales fonctions incluent la suppression des programmes de minage concurrents et des tâches planifiées, l'étalonnage MD5, la désinstallation du logiciel de sécurité et le téléchargement et l'exécution du malware Kinsing. En plus de sa fonction de minage, le malware Kinsing ouvrira des portes latérales et des fonctions d'analyse des ports de masse sur l'hôte en panne, et se connectera au serveur C2 pour télécharger des informations telles que le numéro de version, le nombre de cœurs, les informations sur la mémoire, les informations sur le système d'exploitation, si Les autorisations root et Uuid sont obtenues, etc. Et téléchargeront les scripts suivants pour la connexion verticale, etc.

Canal de communication de la plateforme Windows

Sur la plate-forme Windows, l'attaquant envoie un paquet de données construit à l'hôte victime et place la partie du code exécutable dans le paquet dans le fichier XML du serveur distant. Lorsque la vulnérabilité est exploitée avec succès, l'hôte victime accédera à l'attaquant. configure un fichier XML sur le serveur distant et l'analyse pour son exécution.

Canal de communication de la plateforme Linux

La propagation sur la plate-forme Linux est la même que la propagation sur la plate-forme Windows. Elle envoie également un paquet de données construit à l'hôte victime et installe la partie du code exécutable dans le paquet dans le fichier XML du serveur distant. victime L'hôte accédera au fichier XML Linux e-book du serveur distant configuré par l'attaquant, l'analysera et l'exécutera.

Après avoir trié les échantillons selon le scandale de l'attentat, nous avons obtenu les informations suivantes :

Anatomie des exemples de Windows

1.ps1

Définissez le chemin de téléchargement de l'adresse et du fichier de configuration du programme de minage Monero, ainsi que le chemin de sauvegarde, le nom du programme de minage et d'autres informations :

Téléchargez le programme de minage, enregistrez-le dans le répertoire TMP et renommez-le en sysupdate.exe.

Téléchargez le fichier de configuration du minage, enregistrez le fichier de configuration dans le répertoire TMP et renommez-le en config.json.

プログラムを更新してスケジュールされたタスクを作成し、WindowsService の Updateservice という名前のスケジュールされたタスクを作成し、30 分ごとに無期限に繰り返します。このスケジュールされたタスクは、PowerShell を使用して 1.ps1 スクリプトを実行します。

設定ファイルconfig.json

intermed構成ファイルには5つのマイニングプールアドレスがあります。

Linux サンプル分析

md.sh

2 つのスクリプト ファイルをダウンロードします。 2 つのスクリプト ファイルの機能は、感染したホスト上のセキュリティ ソフトウェアをアンインストールすることです。

競合製品のマイニング プログラムを削除します。

競合製品のスケジュールされたタスクを削除します。

キンシングマルウェア

採掘

サンプルを実行すると、tmp ディレクトリに kdevtmpfsi という名前のマイニング プログラムが作成され、実行されます。

サイドドア機能

このサイドドアコードはホスト上で任意のコマンドを実行できます。

マススキャンスキャン

firewire.sh という名前のスクリプト ファイルを作成します。このスクリプト ファイルには、masscan スキャナーとして検証される外部 MD5 ハッシュ値が含まれています。 Masscan は、nmap ツールと同様に機能する高性能ポート スキャナーです。

C2コミュニケーションズ

マルウェアはHTTP経由でC2サーバーと通信し、攻撃ホストはコア数、メモリ情報、オペレーティングシステム情報、ルート権限やUUIDを取得するかどうかなど、システムステータスとシステムリソース情報の送信を要求します。これらすべてのパラメータは、カスタム HTTP ヘッダーを使用して C2 サーバーに送信されます。

攻撃ホストは get を通じて継続的に C2 サーバーを要求し、Sign 配列はサーバーが応答した後に渡される悪意のあるシェル スクリプトです。

L'hôte attaquant utilisera /mg pour demander au serveur C2. Le serveur C2 répondra avec quelques caractères. L'hôte attaquant utilise JSON-RPC pour envoyer les informations sur l'hôte via HTTP.

Téléchargez le script cron.sh, dont la fonction est de mettre fin au programme de minage de produits concurrent.

Téléchargez le script spre.sh. Le script recherchera et fera correspondre depuis /.ssh/config, .bash_history, /.ssh/known_hosts pour découvrir la cible de l'attaque, trouver les informations de vérification d'identité correspondantes et détecter ~/. , ~/.bash_history et .ssh/known_hosts tentent d'effectuer des opérations telles que la connexion verticale.

Analyse des relations

Grâce à l'analyse de corrélation, nous avons trouvé un autre fichier de script xx.sh sur les actifs de l'organisation. La fonction de xx.sh est de télécharger un Rootkit nommé libsystem.so et d'autres logiciels malveillants à partir de 194.38.20.199/libsystem.so. D'autres scripts préchargent ensuite le rootkit dans /etc/ld.so.preload.

Le script enregistre également un service système pour la persistance qui réinfecte périodiquement l'hôte.

Prévention, traitement et élimination :

Ne cliquez pas sur des sites Web inconnus ; ouvrez les pièces jointes inconnues ; mettez régulièrement à jour la base de données virale de votre logiciel antivirus. Désactivez la fonction de partage de l'ordinateur portable et désactivez la fonction permettant la connexion à distance à l'ordinateur portable. Installez les derniers correctifs système.

Trojan.Linux.MINER.C

Niveau de prudence★★★

Plateformes concernées : Linux

Description du corps d'exécution du virus

Récemmentjeux en ligne Linux, le dernier fichier de variante du cheval de Troie minier DDG a été saisi. Cette variante est principalement destinée aux hôtes cloud. Sur la base des versions précédentes, une couche de script shell de virus de version elf est intégrée. Produits miniers pour atteindre l’objectif d’extraction exclusive des ressources du système. Son nom est : Trojan.Linux.MINER.C.

Le corps du virus est un fichier elfe :

Utilisez readlink pour lire le chemin de votre propre fichier de processus :

Révélez les codes shell dans les ressources. Les codes révélés sont tous des shells cryptés en base64 :

Créez le fichier 01 dans le dossier .X11-unix. Ce fichier est utilisé pour stocker le pid du processus antivirus après avoir exécuté le shell ultérieurement :

.

Le shell qui exécute enfin le secret :

最初のシェル公開:

このスクリプトはマイニング プログラムのデーモン プロセスであり、主にマイニング プログラムが実行中かどうかを監視するために使用され、実行が停止した場合はマイニング プログラムをダウンロードします。

このスクリプトは、don を使用してドメイン名を解決し、Tor プロキシを介してダウンロードおよびマイニングを行います。その主な機能は、主要なセキュリティ ベンダーの IDS 防御をバイパスすることです。

マイニング プログラムが実行されているかどうかを確認する方法は、右の図に示すように、.x11-unix/01 に記録されているマイニング プロセスを取得することで判断できます。マイニングが再開されます:

このスクリプト 20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S の最初の行は、ローカルに保存されたシェル ファイルと関連するスケジュールされたタスクのファイル名です。

それを開いた後、次のスクリプトを見つけました:

2 番目のシェル スクリプトは基本的に最初のシェル スクリプトと同じです。

3 番目のシェル スクリプトは主に、競合する製品マイニング ウイルスを削除するために使用されます。

スケジュールされたタスクと競合するマイニング ウイルスのファイルを削除して、システム リソースを独占します。その中に unix.db の亜種が見つかり、AsiaInfo は 2020 年半ばにはこの亜種を捕捉していました

次のアウトリーチに関連するプロセスを終了します:

競合するマイニング製品のシェル ファイルを削除し、システム内の CPU 使用率の高いプロセスを終了します。

次の文字列でプロセスを終了します。kthreadi などのプロセスも、Linux の一般的なマイニング ウイルスです。

4 番目のシェルは伝播モジュールであり、一部のクラウド ホスト サービスの終わりです。

クラウドホスト関連のサービスとファイルを終了します。

knifessh は、すべてのノード

Linux オンライン ゲーム で SSH コマンドを呼び出します。コマンドが公開された後、それが最初のシェルです。

使用saltstack的cmd.run模块对下属机器统一执行挖矿。

借助pssh传播

获取通信过的hosts，并尝试联接。

在联接远程主机时不会显示交互式口令输入，会主动把对方的私钥加到known-hosts中，而不会提示用户是否要记录这样的信息，且当远程主机的私钥变化了，依然会联接上linux串口驱动，不会出现由于私钥不对联接失败。

ansibleall-mshell-a登陆其他主机传播：

防治和消除：

不要点击不明网站；打开不明电邮附件；定时时常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能，关掉容许远程联接笔记本的功能。安装最新的系统补丁。

垂钓网站提示：

1、假冒亚马逊类垂钓网：

害处：套取用户邮箱帐号及密码信息。

2、假冒PDF类垂钓网：

害处：套取用户帐号及密码信息。

3、假冒Paypal类垂钓网：

害处：套取用户帐号及密码信息。

4、假冒腾讯游戏类垂钓网站:

害处：套取用户信用卡号及密码信息。

5、假冒Gmail类垂钓网站

害处：套取用户邮箱帐号及密码信息。

切勿打开类似上述网站，保持计算机的网路防火墙打开。

以上信息由天津市网路与信息安全应急管理事务中心提供

以上がH2Miner ウイルスが Windows/Linux プラットフォームに侵入、マイニング プログラムの長期存続に注意の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。