春节期间H2Miner挖矿团伙利用多个漏洞武器攻击云上主机

2021-02-22 10:07:28
腾讯安全威胁情报中心检测到春节期间H2Miner挖矿团伙异常活跃,该团伙利用多个漏洞武器攻击云上主机挖矿。H2Miner挖矿团伙攻击活跃,猜测其意图趁春节假期安全运维相对薄弱发起扩散。攻击者利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行。

一、概述

腾讯安全威胁情报中心检测到春节期间H2Miner挖矿团伙异常活跃,该团伙利用多个漏洞武器攻击云上主机挖矿。H2Miner挖矿团伙攻击活跃,猜测其意图趁春节假期安全运维相对薄弱发起扩散。攻击者利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行。

攻击者合并使用了多个漏洞攻击武器,除利用该团伙惯用的XXL-JOB未授权命令执行攻击之外,还使用了PHPUnit远程代码执行漏洞(CVE-2017-9841)Supervisord远程命令执行漏洞(CVE-2017-11610)和ThinkPHP 5.X远程命令执行漏洞进行攻击扩散,最终投递名为kdevtmpfsiXMR门罗币矿机组件挖矿牟利。

腾讯安全专家表示,自比特币市价屡创新高以来,比特币、门罗币、以太坊币、狗狗币等虚拟加密币市场空前活跃,大量挖矿木马团伙正跃跃欲试,腾讯安全专家提醒政企用户注意防范。

排查&加固

文件:

/etc/kinsing

/tmp/kinsing

/var/tmp/kinsing

/dev/shm/kinsing

/etc/kdevtmpfsi

/tmp/kdevtmpfsi

/var/tmp/kdevtmpfsi

/dev/shm/kdevtmpfsi

/etc/libsystem.so

进程:

kinsing

kdevtmpfsi

计划任务:

195.3.146.118相关计划任务

预加载配置:

排查清理/etc/ld.so.preload内恶意预加载配置项

加固:

升级PHPUnit 5.6.2以上版本;

升级supervisor到最新版本;

升级ThinkPHP到最新版本;


针对H2Miner挖矿木马的攻击流程,腾讯安全全系列产品可以在各个环节实施分层防御拦截。

完整响应清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)威胁情报已加入,可赋能全网安全设备。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1H2Miner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量:

1)H2Miner相关联的IOCs已支持识别检测;

2)H2Miner针对PHPUnit发起的漏洞攻击以支持识别检测,阻断;

3)H2Miner针对Supervisord发起的漏洞攻击以支持识别检测,阻断;

4)H2Miner针对ThinkPHP发起的漏洞攻击以支持识别检测,阻断;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持H2Miner关联模块的检测告警,查杀清理。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)H2Miner相关联的IOCs已支持识别检测;

2)H2Miner针对PHPUnit发起的漏洞攻击以支持识别检测;

3)H2Miner针对Supervisord发起的漏洞攻击以支持识别检测

4)H2Miner针对ThinkPHP发起的漏洞攻击以支持识别检测

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 iOA

1)已支持H2Miner关联模块的检测告警,查杀清理。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html

二、技术分析

PHPUnit PHP 程式语言中最常见的单元测试 (unit testing) 框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹。phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。

腾讯云防火墙检测到攻击者利用PHPUnit远程代码执行漏洞(CVE-2017-9841)进行攻击:

Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。

腾讯云防火墙检测到攻击者利用Supervisord远程命令执行漏洞(CVE-2017-11610)进行攻击:

ThinkPHP官方201812月发布了重要安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。

腾讯云防火墙检测到攻击者利用ThinkPHP 5.X远程命令执行漏洞进行攻击

攻击者在漏洞利用入侵成功后,会进一步投递其控制的资产(194.38.20.199)下名为sup.shp.sht.sh的恶意脚本。脚本执行后会尝试卸载安全软件,同时拉取后门kinsing模块到etc目录、释放kdevtmpfsi矿机模块到tmp目录执行,且将恶意脚本执行写入计划任务实现持久化。

xmr矿机运行后会占用大量CPU资源进行挖矿,主机正常业务会受到严重影响。

IOCs

MD5:

a44bbf766070f731cc7adfcd3db80e39

648effa354b3cbaad87b45f48d59c616

8c6681daba966addd295ad89bf5146af

URL:

hxxp://194.38.20.199/t.sh

hxxp://194.38.20.199/sup.sh

hxxp://194.38.20.199/p.sh

hxxp://195.3.146.118/t.sh

IP:

195.3.146.118

194.38.20.199

矿池:

xmr.nanopool.org 

参考资料:

《腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB未授权命令执行漏洞攻击云主机》


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

最新资讯