H2Miner 病毒入侵 Windows/Linux 平台，警惕挖矿程序长期驻留

H2Miner

提防程度★★★

影响平台:Windows/Linux

病毒执行体描述

功击者借助漏洞入侵Windows平台和Linux平台。在Windows平台中，进犯主机下载并执行wbw.xml的XML文件，在XML文件中执行一段PowerShell命令，下载名为1.ps1的脚本，该脚本下载挖矿程序以及挖矿的配置文件并重命名执行，创建计划任务每30分钟执行一次1.ps1脚本，实现持久化常年留驻进犯主机；在Linux平台中，进犯主机下载并执行名为wb.xml的XML文件，该XML文件使用同样的手法内嵌了一段bash脚本，执行后下载挖矿脚本，主要功能包括去除竞品挖矿程序和计划任务、MD5校准、卸载安全软件和下载Kinsing恶意软件并执行等。Kinsing恶意软件除了具有挖矿功能，就会在溃退主机上开放侧门以及masscan端口扫描等功能，联接C2服务器上传版本号、内核数目、内存信息、操作系统信息、是否获得Root权限和Uuid等信息，并会下载后续脚本进行纵向联通等。

Windows平台传播途径

在Windows平台中，功击者向被害主机发送一个构造好的数据包，将该数据包中的可执行代码部份架设在远程服务器的XML文件中，当漏洞借助成功后，被害主机都会访问功击者架设远程服务器的XML文件，并解析执行。

Linux平台传播途径

Linux平台传播与Windows平台传播途径一样，同样向被害主机上发送构造好的数据包，将该数据包中的可执行代码部份架设在远程服务器的XML文件中，当漏洞借助成功后，被害主机都会访问功击者架设远程服务器的XML文件linux 电子书，并解析执行。

按照功击风波对样本进行梳理得到如下信息：

Windows样本剖析

1.ps1

定义门罗币挖矿程序地址和配置文件的下载路径以及保存路径和挖矿程序名等信息：

下载挖矿程序，并将挖矿程序保存在TMP目录下，并重命名为sysupdate.exe。

下载挖矿配置文件，并将配置文件保存在TMP目录下，并重命名为config.json。

Aktualisieren Sie das Programm und erstellen Sie eine geplante Aufgabe, erstellen Sie eine geplante Aufgabe mit dem Namen Updateservice für WindowsService und wiederholen Sie diese alle 30 Minuten auf unbestimmte Zeit. Diese geplante Aufgabe verwendet PowerShell, um das Skript 1.ps1 auszuführen.

Konfigurationsdatei config.json

Die Konfigurationsdatei enthält 5 Mining-Pool-Adressen. Die Wallet-Adressen lauten alle 4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC. Das Folgende ist Teil des Inhalts in der Konfigurationsdatei:

Linux-Beispielanalyse

md.sh

Laden Sie zwei Skriptdateien herunter. Die Funktion der beiden Skriptdateien besteht darin, die Sicherheitssoftware auf dem infizierten Host zu deinstallieren.

Entfernen Sie das Mining-Programm von Konkurrenzprodukten.

Entfernen Sie geplante Aufgaben von Konkurrenzprodukten.

Kinning-Malware

Bergbau

Nachdem das Beispiel ausgeführt wurde, wird ein Mining-Programm namens kdevtmpfsi im tmp-Verzeichnis erstellt und ausgeführt.

Seitentürfunktion

Dieser Seitentürcode kann beliebige Befehle auf dem Host ausführen.

Massenscan

Erstellen Sie eine Skriptdatei mit dem Namen firewire.sh. Diese Skriptdatei verfügt über einen externen MD5-Hashwert, der als Masscan-Scanner verifiziert ist. masscan ist ein leistungsstarker Portscanner, der ähnlich wie das Nmap-Tool funktioniert.

C2-Kommunikation

Die Malware kommuniziert über HTTP mit dem C2-Server und der angreifende Host fordert die Übermittlung von Systemstatus- und Systemressourceninformationen an, z. B. die Anzahl der Kerne, Speicherinformationen, Betriebssysteminformationen, ob Root-Berechtigungen und UUID erhalten werden sollen usw. Alle diese Parameter werden mithilfe benutzerdefinierter HTTP-Header an den C2-Server gesendet.

Der angreifende Host fordert den C2-Server kontinuierlich über get an, und das Sign-Array ist das bösartige Shell-Skript, das nach der Antwort des Servers übergeben wird.

进犯主机会使用/mg对C2服务器进行恳求，C2服务器会响应几个字符，进犯主机使用JSON-RPC的方式通过HTTP发送主机信息。

下载cron.sh脚本，功能是结束竞品挖矿程序。

下载spre.sh脚本，脚本会从/.ssh/config,.bash_history,/.ssh/known_hosts进行搜索和匹配，来发觉功击目标，并找到与其相对应的身分验证的信息，检测~/.ssh/config、~/.bash_history和.ssh/known_hosts尝试进行纵向联通等操作。

关联剖析

通过关联剖析，我们找到该组织的资产上另一个脚本文件xx.sh，xx.sh的功能是从194.38.20.199/libsystem.so处下载名为libsystem.so的Rootkit以及其他恶意软件。之后其他脚本将该Rootkit预加载到/etc/ld.so.preload。

该脚本还注册一个定期重新感染主机的系统服务来持久化。

防治和消除：

不要点击不明网站；打开不明电邮附件；定时常常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能，关掉容许远程联接笔记本的功能。安装最新的系统补丁。

Trojan.Linux.MINER.C

提防程度★★★

影响平台:Linux

病毒执行体描述

近期linux 网络游戏，查获了DDG挖矿木马的最新变种文件，此变种主要针对云主机，在往年版本的基础上嵌套了一层elf释放病毒shell脚本，该变种就会中止竞品挖矿，达到独占系统资源挖矿的目的。其命名为：Trojan.Linux.MINER.C。

病毒本体为elf文件：

使用readlink读取自身进程文件所在路径：

揭秘资源中的shell代码，其中揭秘后代码均为base64加密的shell：

在文件夹.X11-unix中创建01文件，此文件用于后续运行shell后储存病毒进程pid：

最后执行揭秘的shell：

第一段shell揭秘：

此脚本为挖矿程序的守护进程，主要用于监控挖矿程序是否正在运行，若停止运行则下载挖矿程序。

此脚本使用don解析域名，通过tor代理下载挖矿，和其他变种一样主要作用为绕开各大安全厂商的IDS防御。

判定挖矿程序是否运行的方式如右图所示，通过获取.x11-unix/01中记录的挖矿进程来判定是否正在挖矿，若不存在此pid会重新启动一个挖矿：

此脚本第一行20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S为shell文件保存在本地的文件名以及相关计划任务：

打开后发觉就是此脚本：

第二段shell脚本和第一个shell脚本基本一致。

第三段shell脚本主要用于删掉竞品挖矿病毒。

过删掉同类竞品挖矿病毒的计划任务以及文件，以达到独占系统资源的目的。我们在其中发觉了unix.db变种，亚信安全早在2020年中早已捕获到此变种

结束与以下外联相关的进程：

删掉竞品挖矿的shell文件并结束系统中高占用cpu的进程。

结束带有以下字符串的进程，其中kthreadi等进程也是linux中常见的挖矿病毒。

第四段shell为传播模块，以及结束一些云主机的服务。

结束云主机相关的服务和文件。

knifessh在所有的节点上调用SSH命令linux 网络游戏，命令揭秘后即为第一段shell

使用saltstack的cmd.run模块对下属机器统一执行挖矿。

借助pssh传播

获取通信过的hosts，并尝试联接。

在联接远程主机时不会显示交互式口令输入，会主动把对方的私钥加到known-hosts中，而不会提示用户是否要记录这样的信息，且当远程主机的私钥变化了，依然会联接上linux串口驱动，不会出现由于私钥不对联接失败。

ansibleall-mshell-a登陆其他主机传播：

防治和消除：

不要点击不明网站；打开不明电邮附件；定时时常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能，关掉容许远程联接笔记本的功能。安装最新的系统补丁。

垂钓网站提示：

1、假冒亚马逊类垂钓网：

害处：套取用户邮箱帐号及密码信息。

2、假冒PDF类垂钓网：

害处：套取用户帐号及密码信息。

3、假冒Paypal类垂钓网：

害处：套取用户帐号及密码信息。

4、假冒腾讯游戏类垂钓网站:

害处：套取用户信用卡号及密码信息。

5、假冒Gmail类垂钓网站

害处：套取用户邮箱帐号及密码信息。

切勿打开类似上述网站，保持计算机的网路防火墙打开。

以上信息由天津市网路与信息安全应急管理事务中心提供

以上是H2Miner 病毒入侵 Windows/Linux 平台，警惕挖矿程序长期驻留的详细内容。更多信息请关注PHP中文网其他相关文章！