威胁研究正文

腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB相关漏洞攻击云主机

2020-12-28 08:22:49

腾讯安全云防火墙检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。

一、概述

腾讯安全云防火墙检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。

腾讯安全专家建议XXL-JOB管理任务的政企用户及时加固系统配置、修补漏洞,避免遭遇更多的黑产攻击。用户可参考腾讯安全产品响应清单指引,及时检测、清理恶意威胁。

腾讯云防火墙检测到相关攻击的日志:


复现相关攻击命令可植入恶意挖矿脚本


XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。XXL-JOB分为adminexecutor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。


已中招系统可参考以下步骤手动清除病毒,加固系统。

排查过程建议使用busybox工具

计划任务

查询并清理:

195.3.146.118/xx.sh相关的恶意脚本定时任务

检查系统服务

停止bot名服务

系统预加载配置

排查清理/etc/ld.so.preload内恶意预加载配置项

排查清理以下位置的文件:

/etc/libsystem.so

/tmp/kinsing

/var/tmp/kinsing

/dev/shm/kinsing

/etc/kinsing

/tmp/kdevtmpfsi

/var/tmp/kdevtmpfsi

/dev/shm/kdevtmpfsi

/etc/kdevtmpfsi

排查进程

kinsing

kdevtmpfsi

系统加固

开启 XXL-JOB 自带鉴权组件,消除XXL-JOB未授权命令执行漏洞风险。

针对H2Miner挖矿木马的入侵攻击流程,腾讯安全全系列产品可以在多个环节实施分层防御拦截。


腾讯安全针对H2Miner挖矿木马新变种的完整响应清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)威胁情报已将H2Miner挖矿木马相关IoCs信息赋能全网所有安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1H2Miner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量:

1)H2Miner相关联的IOCs已支持识别检测;

2)H2Miner利用xxl_job发起的恶意攻击以支持识别检测,阻断;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持H2Miner关联模块的检测告警,查杀清理。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)H2Miner相关联的IOCs已支持识别检测;

2)H2Miner利用xxl_job发起的恶意攻击以支持识别检测

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 iOA

1)已支持H2Miner关联模块的检测告警,查杀清理。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html

二、样本分析

xx.sh

该模块作为入侵后源头执行脚本,会进一步拉取3个模块,分别为系统预加载模块libsystem.so,后门功能模块kinsing,下载工具curl,同时清理其他挖矿模块计划任务,将自身加入计划任务实现持久化。

脚本作为download下载安装其它恶意模块。


libsystem.so模块将被写入系统预加载配置项


kinsing模块将被作为服务启动


攻击脚本同时会清理其他挖矿木马创建的计划任务。


将自身脚本加入计划任务进行持久化,并清理bash_history


libsystem.so

该模块将被写入系统预加载配置项,进一步实现对系统内信息查询工具进行劫持,达到恶意模块,通信端口信息隐藏的目的。该模块运行后首先动态解密出需要隐藏的相关模块,木马使用的外联IP串相关信息,劫持的函数名信息,加密方式为使用0xFC异或。


解密出大量字串信息,包含隐藏相关的IP信息,模块名信息等,同时会包含劫持的函数名字串。


使用0xFC解密出的函数名,进一步动态获取到被hook函数的原始地址保存到_non_hooked_symbols备用。


初始化完成后的non_hooked_symbols原始函数地址表。


例如以下流程,被劫持函数执行后将判断当前查询文件参数全路径,内容否需要隐藏,无需隐藏文件则正常执行_non_hooked_symbols内对应系统函数返回正常结果,须隐藏文件则返回失败。



kinsing

该模块以服务启动,运行后会不断循环,拉取任务等待执行。


根据命令解析执行不同功能,分析可知该模块具备扫描,更新,命令执行,下载执行,执行http请求,redis爆破等功能。


同时该模块会释放xmr矿机到同目录执行,矿机名为kdevtmpfsi


IOCs

MD5:

56064b3b098748a4fac0e7661d4666c2

648effa354b3cbaad87b45f48d59c616

ccef46c7edf9131ccffc47bd69eb743b

8c6681daba966addd295ad89bf5146af

URL:

hxxp://188.119.112.132/libsystem.so

hxxp://188.119.112.132/kinsing

hxxp://195.3.146.118/xx.sh

hxxp://194.40.243.61/xx.sh

IP:

188.119.112.132

195.3.146.118

194.40.243.61


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询

方案定制