产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文春节期间H2Miner挖矿团伙利用多个漏洞武器攻击云上主机
2021-02-22 02:07:28
一、概述
腾讯安全威胁情报中心检测到春节期间H2Miner挖矿团伙异常活跃,该团伙利用多个漏洞武器攻击云上主机挖矿。H2Miner挖矿团伙攻击活跃,猜测其意图趁春节假期安全运维相对薄弱发起扩散。攻击者利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行。
攻击者合并使用了多个漏洞攻击武器,除利用该团伙惯用的XXL-JOB未授权命令执行攻击之外,还使用了PHPUnit远程代码执行漏洞(CVE-2017-9841)、Supervisord远程命令执行漏洞(CVE-2017-11610)和ThinkPHP 5.X远程命令执行漏洞进行攻击扩散,最终投递名为kdevtmpfsi的XMR门罗币矿机组件挖矿牟利。
腾讯安全专家表示,自比特币市价屡创新高以来,比特币、门罗币、以太坊币、狗狗币等虚拟加密币市场空前活跃,大量挖矿木马团伙正跃跃欲试,腾讯安全专家提醒政企用户注意防范。
排查&加固
文件:
/etc/kinsing
/tmp/kinsing
/var/tmp/kinsing
/dev/shm/kinsing
/etc/kdevtmpfsi
/tmp/kdevtmpfsi
/var/tmp/kdevtmpfsi
/dev/shm/kdevtmpfsi
/etc/libsystem.so
进程:
kinsing
kdevtmpfsi
计划任务:
195.3.146.118相关计划任务
预加载配置:
排查清理/etc/ld.so.preload内恶意预加载配置项
加固:
升级PHPUnit 到5.6.2以上版本;
升级supervisor到最新版本;
升级ThinkPHP到最新版本;
针对H2Miner挖矿木马的攻击流程,腾讯安全全系列产品可以在各个环节实施分层防御拦截。
完整响应清单如下:
应用场景 | 安全产品 | 解决方案 |
威 胁 情 报 | 腾讯T-Sec 威胁情报云查服务 (SaaS) | 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 | 1)H2Miner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts | |
云原生安全 防护 | 云防火墙 (Cloud Firewall,CFW) | 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)H2Miner相关联的IOCs已支持识别检测; 2)H2Miner针对PHPUnit发起的漏洞攻击以支持识别检测,阻断; 3)H2Miner针对Supervisord发起的漏洞攻击以支持识别检测,阻断; 4)H2Miner针对ThinkPHP发起的漏洞攻击以支持识别检测,阻断; 有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) | 1)云镜已支持H2Miner关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp | |
腾讯T-Sec 安全运营中心 | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html | |
非云企业安全防护 | 腾讯T-Sec 高级威胁检测系统 (腾讯御界) | 基于网络流量进行威胁检测,已支持: 1)H2Miner相关联的IOCs已支持识别检测; 2)H2Miner针对PHPUnit发起的漏洞攻击以支持识别检测; 3)H2Miner针对Supervisord发起的漏洞攻击以支持识别检测 4)H2Miner针对ThinkPHP发起的漏洞攻击以支持识别检测 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
腾讯T-Sec 零信任无边界 访问控制系统 (iOA) | 1)已支持H2Miner关联模块的检测告警,查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html |
二、技术分析
PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹。phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。
腾讯云防火墙检测到攻击者利用PHPUnit远程代码执行漏洞(CVE-2017-9841)进行攻击:
Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。
腾讯云防火墙检测到攻击者利用Supervisord远程命令执行漏洞(CVE-2017-11610)进行攻击:
ThinkPHP官方2018年12月发布了重要安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。
腾讯云防火墙检测到攻击者利用ThinkPHP 5.X远程命令执行漏洞进行攻击
攻击者在漏洞利用入侵成功后,会进一步投递其控制的资产(194.38.20.199)下名为sup.sh、p.sh、t.sh的恶意脚本。脚本执行后会尝试卸载安全软件,同时拉取后门kinsing模块到etc目录、释放kdevtmpfsi矿机模块到tmp目录执行,且将恶意脚本执行写入计划任务实现持久化。
xmr矿机运行后会占用大量CPU资源进行挖矿,主机正常业务会受到严重影响。
IOCs
MD5:
a44bbf766070f731cc7adfcd3db80e39
648effa354b3cbaad87b45f48d59c616
8c6681daba966addd295ad89bf5146af
URL:
hxxp://194.38.20.199/t.sh
hxxp://194.38.20.199/sup.sh
hxxp://194.38.20.199/p.sh
hxxp://195.3.146.118/t.sh
IP:
195.3.146.118
194.38.20.199
矿池:
xmr.nanopool.org
参考资料:
《腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB未授权命令执行漏洞攻击云主机》
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
相关产品
T-Sec 主机安全
护航百万级主机,构建全面服务器防护体系
相关资源
网络安全运维工程师-认证
下载相关文章
Sysrv-hello僵尸网络最新版新增5种攻击能力
在线咨询
方案定制