H2Miner 病毒入侵 Windows/Linux 平台，警覺挖礦程序長期駐留

H2Miner

提防程度★★★

影響平台:Windows/Linux

病毒執行體描述

功擊者藉由漏洞入侵Windows平台和Linux平台。在Windows平台中，進犯主機下載並執行wbw.xml的XML文件，在XML文件中執行一段PowerShell命令，下載名為1.ps1的腳本，該腳本下載挖礦程序以及挖礦的配置文件並重命名執行，建立排程任務每30分鐘執行一次1.ps1腳本，實現持久化常年留在進犯主機；在Linux平台中，進犯主機下載並執行名為wb.xml的XML文件，該XML文件使用同樣的手法內嵌了一段bash腳本，執行後下載挖礦腳本，主要功能包括去除競品挖礦程序和計劃任務、MD5校準、卸載安全軟體和下載Kinsing惡意軟體並執行等。 Kinsing惡意軟體除了具有挖礦功能，就會在潰退主機上開放側門以及masscan端口掃描等功能，聯接C2伺服器上傳版本號、內核數目、內存信息、操作系統信息、是否獲得Root權限和Uuid等信息，並會下載後續腳本進行縱向聯通等。

Windows平台傳播路徑

在Windows平台中，功擊者向被害主機發送一個構造好的資料包，將該資料包中的可執行程式碼部分架設在遠端伺服器的XML檔案中，當漏洞借助成功後，被害主機都會存取功擊者架設遠端伺服器的XML文件，並解析執行。

Linux平台傳播途徑

Linux平台傳播與Windows平台傳播途徑一樣，同樣向被害主機上發送建構好的資料包，將該資料包中的可執行程式碼部分架設在遠端伺服器的XML檔案中，當漏洞藉助成功後，被害主機都會存取功擊者架設遠端伺服器的XML檔案linux 電子書，並解析執行。

依照功擊風波對樣本進行梳理得到以下資訊：

Windows樣本剖析

1.ps1

定義門羅幣挖礦程式地址和設定檔的下載路徑以及保存路徑和挖礦程式名稱等資訊：

下載挖礦程序，並將挖礦程序儲存在TMP目錄下，並重新命名為sysupdate.exe。

下載挖礦設定文件，並將設定檔儲存在TMP目錄下，並重新命名為config.json。

更新程式和建立計畫任務，建立名為UpdateserviceforWindowsService的排程任務，無限期地每隔30分鐘重複一次。此計劃任務使用PowerShell執行1.ps1腳本。

設定檔config.json

設定檔中有5個礦池位址，皮夾位址皆為4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR58617575770

Linux樣本剖析

md.sh

下載兩個腳本文件，兩個腳本文件的作用是卸載被感染主機上的安全軟體。

去除競品的挖礦程序。

去除競品的計畫任務。

kinsing惡意軟體

挖礦

樣本執行後，會在tmp目錄下建立名為kdevtmpfsi的挖礦程式並執行。

側門功能

此側門程式碼可以實現在主機上執行任意指令。

masscan掃描

建立名為firewire.sh的腳本文件，該腳本檔案中外置了一個MD5雜湊值，該雜湊值經驗證，為masscan掃描器。 masscan是一個高效能的連接埠掃描器，它的功能類似nmap工具。

C2通訊

惡意軟體透過HTTP與C2伺服器進行通訊，進犯主機會懇求發送系統狀態和系統資源訊息，例如核心數目、記憶體資訊、作業系統資訊、是否取得Root權限和UUID等。所有那些參數都使用自訂HTTP頭髮送給C2伺服器。

進犯主機不斷透過get懇求C2伺服器，Sign陣列為伺服器回應後傳遞的惡意Shell腳本。

進犯主機會使用/mg對C2伺服器進行懇求，C2伺服器會回應幾個字符，進犯主機使用JSON-RPC的方式透過HTTP發送主機資訊。

下載cron.sh腳本，功能是結束競品挖礦程序。

下載spre.sh腳本，腳本會從/.ssh/config,.bash_history,/.ssh/known_hosts進行搜索和匹配，來發覺功擊目標，並找到與其相對應的身份驗證的信息，檢測~ /.ssh/config、~/.bash_history和.ssh/known_hosts嘗試進行縱向聯通等操作。

關聯剖析

透過關聯剖析，我們找到該組織的資產上另一個腳本檔案xx.sh，xx.sh的功能是從194.38.20.199/libsystem.so處下載名為libsystem.so的Rootkit以及其他惡意軟體。之後其他腳本將該Rootkit預先載入到/etc/ld.so.preload。

該腳本還註冊一個定期重新感染主機的系統服務來持久化。

防治與消除：

不要點擊不明網站；開啟不明電郵附件；定時常常更新防毒軟體病毒資料庫，最好開啟防毒軟體的病毒資料庫手動更新功能。關掉筆記本共享功能，關掉容許遠端聯接筆記本的功能。安裝最新的系統補丁。

Trojan.Linux.MINER.C

提防程度★★★

影響平台:Linux

病毒執行體描述

近期linux 網路遊戲，查獲了DDG挖礦木馬的最新變種文件，此變種主要針對雲端主機，在往年版本的基礎上嵌套了一層elf釋放病毒shell腳本，該變種就會中止競品挖礦，達到獨佔系統資源挖礦的目的。其命名為：Trojan.Linux.MINER.C。

病毒本體為elf檔：

使用readlink讀取自身進程檔案所在路徑：

揭秘資源中的shell程式碼，其中揭秘後程式碼均為base64加密的shell：

在資料夾.X11-unix中建立01文件，此文件用於後續運行shell後儲存病毒進程pid：

最後執行揭秘的shell：

第一段shell揭秘：

此腳本為挖礦程序的守護進程，主要用於監控挖礦程序是否正在運行，若停止運行則下載挖礦程序。

此腳本使用don解析域名，透過tor代理下載挖礦，和其他變種一樣主要作用為繞過各大安全廠商的IDS防禦。

判定挖礦程序是否運作的方式如右圖所示，透過取得.x11-unix/01中記錄的挖礦進程來判定是否正在挖礦，若不存在此pid會重新啟動一個挖礦：

此腳本第一行20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S為shell檔案保存在本地的檔案名稱以及相關排程任務：

開啟後發覺就是此腳本：

第二段shell腳本和第一個shell腳本基本上一致。

第三段shell腳本主要用來刪除競品挖礦病毒。

過刪掉同類競品挖礦病毒的計畫任務以及文件，以達到獨佔系統資源的目的。我們在其中發覺了unix.db變種，亞信安全早在2020年中早已捕獲到此變種

結束與以下外聯相關的進程：

刪除競品挖礦的shell檔案並結束系統中高佔用cpu的進程。

結束帶有以下字串的進程，其中kthreadi等進程也是linux中常見的挖礦病毒。

第四段shell為傳播模組，以及結束一些雲端主機的服務。

結束與雲端主機相關的服務與檔案。

knifessh在所有的節點上呼叫SSH指令linux 網路遊戲，指令揭秘後即為第一段shell

使用saltstack的cmd.run模組對下屬機器統一執行挖礦。

借助pssh傳播

取得通訊過的hosts，並嘗試聯結。

在聯接遠端主機時不會顯示互動式口令輸入，會主動把對方的私鑰加到known-hosts中，而不會提示使用者是否要記錄這樣的信息，且當遠端主機的私鑰變化了，依然會聯接上linux串列驅動，不會出現由於私鑰不對聯接失敗。

ansibleall-mshell-a登陸其他主機傳播：

防治與消除：

不要點擊不明網站；開啟不明電郵附件；定時時常更新防毒軟體病毒資料庫，最好開啟防毒軟體的病毒資料庫手動更新功能。關掉筆記本共享功能，關掉容許遠端聯接筆記本的功能。安裝最新的系統補丁。

釣網站提示：

1.假亞馬遜類釣網：

害處：套取使用者信箱帳號及密碼資訊。

2、假PDF類釣網：

害處：套取使用者帳號及密碼資訊。

3.假冒Paypal類釣網：

害處：套取使用者帳號及密碼資訊。

4、假騰訊遊戲類釣網站:

害處：套取用戶信用卡號及密碼資訊。

5、假Gmail類釣網站

害處：套取使用者信箱帳號及密碼資訊。

切勿開啟類似上述網站，保持電腦的網路防火牆開啟。

以上資訊由天津市網路與資訊安全緊急管理事務中心提供

以上是H2Miner 病毒入侵 Windows/Linux 平台，警覺挖礦程序長期駐留的詳細內容。更多資訊請關注PHP中文網其他相關文章！