Le virus H2Miner envahit la plateforme Windows/Linux, méfiez-vous de la persistance à long terme des programmes de minage

H2Mineur

Niveau de prudence★★★

Plateformes concernées : Windows/Linux

Description du corps d'exécution du virus

Les attaquants utilisent des vulnérabilités pour envahir les plateformes Windows et Linux. Sur la plate-forme Windows, l'hôte attaquant télécharge et exécute le fichier XML wbw.xml, exécute une commande PowerShell dans le fichier XML et télécharge un script nommé 1.ps1. Ce script télécharge le programme d'exploration de données et le fichier de configuration d'exploration de données et les renomme. , créez une tâche planifiée et exécutez le script 1.ps1 toutes les 30 minutes pour assurer la persistance et rester sur l'hôte d'attaque toute l'année ; sur la plate-forme Linux, l'hôte d'attaque télécharge et exécute un fichier XML nommé wb.xml, qui est intégré en utilisant la même méthode. Un script bash est créé et après exécution, le script de minage est téléchargé. Ses principales fonctions incluent la suppression des programmes de minage concurrents et des tâches planifiées, l'étalonnage MD5, la désinstallation du logiciel de sécurité et le téléchargement et l'exécution du malware Kinsing. En plus de sa fonction de minage, le malware Kinsing ouvrira des portes latérales et des fonctions d'analyse de port masscan sur l'hôte en panne, et se connectera au serveur C2 pour télécharger des informations telles que le numéro de version, le nombre de cœurs, les informations sur la mémoire, les informations sur le système d'exploitation, si Les autorisations root et Uuid sont obtenues, etc. Et téléchargeront les scripts suivants pour la connexion verticale, etc.

Canal de communication de la plateforme Windows

Sur la plateforme Windows, l'attaquant envoie un paquet de données construit à l'hôte victime et place la partie du code exécutable dans le paquet dans le fichier XML du serveur distant. Lorsque la vulnérabilité est exploitée avec succès, l'hôte victime accédera à l'attaquant. configure un fichier XML sur le serveur distant et l'analyse pour son exécution.

Canal de communication de la plateforme Linux

La propagation sur la plate-forme Linux est la même que la propagation sur la plate-forme Windows. Elle envoie également un paquet de données construit à l'hôte victime et installe la partie du code exécutable dans le paquet dans le fichier XML du serveur distant. victime L'hôte accédera au fichier XML Linux e-book du serveur distant configuré par l'attaquant, l'analysera et l'exécutera.

Après avoir trié les échantillons selon le scandale de l'attentat, nous avons obtenu les informations suivantes :

Anatomie des exemples de Windows

1.ps1

Définissez le chemin de téléchargement de l'adresse et du fichier de configuration du programme de minage Monero, ainsi que le chemin de sauvegarde, le nom du programme de minage et d'autres informations :

Téléchargez le programme de minage, enregistrez-le dans le répertoire TMP et renommez-le en sysupdate.exe.

Téléchargez le fichier de configuration du minage, enregistrez le fichier de configuration dans le répertoire TMP et renommez-le en config.json.

Mettez à jour le programme et créez une tâche planifiée, créez une tâche planifiée nommée Updateservice pour WindowsService et répétez-la toutes les 30 minutes indéfiniment. Cette tâche planifiée utilise PowerShell pour exécuter le script 1.ps1.

Fichier de configuration config.json

Il y a 5 adresses de pool de minage dans le fichier de configuration. Les adresses de portefeuille sont toutes 4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC.

Analyse d'échantillons Linux

md.sh

Téléchargez deux fichiers de script. La fonction des deux fichiers de script est de désinstaller le logiciel de sécurité sur l'hôte infecté.

Supprimez le programme de minage des produits concurrents.

Supprimez les tâches planifiées des produits concurrents.

malware malveillant

Exploitation minière

Une fois l'exemple exécuté, un programme d'exploration de données nommé kdevtmpfsi sera créé dans le répertoire tmp et exécuté.

Fonction de porte latérale

Ce code de porte latérale peut exécuter des commandes arbitraires sur l'hôte.

analyse de masse

Créez un fichier de script nommé firewire.sh. Ce fichier de script a une valeur de hachage MD5 externe, qui est vérifiée comme un scanner masscan. masscan est un scanner de ports hautes performances qui fonctionne de manière similaire à l'outil nmap.

C2Communications

Le malware communique avec le serveur C2 via HTTP et l'hôte attaquant demandera d'envoyer des informations sur l'état du système et les ressources du système, telles que le nombre de cœurs, les informations sur la mémoire, les informations sur le système d'exploitation, l'obtention ou non des autorisations root et de l'UUID, etc. Tous ces paramètres sont envoyés au serveur C2 à l'aide d'en-têtes HTTP personnalisés.

L'hôte attaquant demande en permanence au serveur C2 via get, et le tableau Sign est le script Shell malveillant transmis après la réponse du serveur.

L'hôte attaquant utilisera /mg pour demander au serveur C2. Le serveur C2 répondra avec quelques caractères. L'hôte attaquant utilise JSON-RPC pour envoyer les informations sur l'hôte via HTTP.

Téléchargez le script cron.sh, dont la fonction est de mettre fin au programme de minage de produits concurrent.

Téléchargez le script spre.sh. Le script recherchera et fera correspondre depuis /.ssh/config, .bash_history, /.ssh/known_hosts pour découvrir la cible de l'attaque, trouver les informations de vérification d'identité correspondantes et détecter ~/. , ~/.bash_history et .ssh/known_hosts tentent d'effectuer des opérations telles que la connexion verticale.

Analyse des relations

Grâce à l'analyse de corrélation, nous avons trouvé un autre fichier de script xx.sh sur les actifs de l'organisation. La fonction de xx.sh est de télécharger un Rootkit nommé libsystem.so et d'autres logiciels malveillants à partir de 194.38.20.199/libsystem.so. D'autres scripts préchargent ensuite le rootkit dans /etc/ld.so.preload.

Le script enregistre également un service système pour la persistance qui réinfecte périodiquement l'hôte.

Prévention, traitement et élimination :

Ne cliquez pas sur des sites Web inconnus ; ouvrez les pièces jointes inconnues ; mettez régulièrement à jour la base de données virale de votre logiciel antivirus. Désactivez la fonction de partage de l'ordinateur portable et désactivez la fonction permettant la connexion à distance à l'ordinateur portable. Installez les derniers correctifs système.

Trojan.Linux.MINER.C

Niveau de prudence★★★

Plateformes concernées : Linux

Description du corps d'exécution du virus

Récemmentjeux en ligne Linux, le dernier fichier de variante du cheval de Troie minier DDG a été saisi. Cette variante est principalement destinée aux hôtes cloud. Sur la base des versions précédentes, une couche de script shell de virus de version elf est intégrée. Produits miniers pour atteindre l’objectif d’extraction exclusive des ressources du système. Son nom est : Trojan.Linux.MINER.C.

Le corps du virus est un fichier elfe :

Utilisez readlink pour lire le chemin de votre propre fichier de processus :

Révélez les codes shell dans les ressources. Les codes révélés sont tous des shells cryptés en base64 :

Créez le fichier 01 dans le dossier .X11-unix. Ce fichier est utilisé pour stocker le pid du processus antivirus après avoir exécuté le shell ultérieurement :

.

Le shell qui exécute enfin le secret :

La première coquille dévoilée :

Ce script est le processus démon du programme de minage. Il est principalement utilisé pour surveiller si le programme de minage est en cours d'exécution, s'il s'arrête, il téléchargera le programme de minage.

Ce script utilise don pour résoudre les noms de domaine et télécharger et exploiter via le proxy Tor. Comme d'autres variantes, sa fonction principale est de contourner la défense IDS des principaux fournisseurs de sécurité.

La façon de déterminer si le programme de minage est en cours d'exécution est comme indiqué dans l'image de droite. Vous pouvez déterminer si le minage est en cours en enregistrant le processus de minage dans .x11-unix/01. Si ce pid n'existe pas, un. le minage sera redémarré :

La première ligne de ce script 20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S est le nom du fichier shell enregistré localement et les tâches planifiées associées :

Après l'avoir ouvert, j'ai trouvé ce script :

Le deuxième script shell est fondamentalement le même que le premier script shell.

Le troisième script shell est principalement utilisé pour supprimer les virus d'extraction de produits concurrents.

Supprimez les tâches planifiées et les fichiers des virus miniers concurrents pour monopoliser les ressources système. Nous y avons trouvé la variante unix.db, et AsiaInfo avait capturé cette variante dès la mi-2020

Fin des processus liés à la sensibilisation suivante :

Supprimez les fichiers shell des produits miniers concurrents et mettez fin aux processus d'utilisation élevée du processeur dans le système.

Terminez le processus avec la chaîne suivante. Les processus tels que kthreadi sont également des virus miniers courants sous Linux.

Le quatrième shell est le module de propagation et la fin de certains services d'hébergement cloud.

Fin des services et fichiers liés à l'hôte cloud.

knifessh appelle les commandes SSH sur tous les nœudsjeux en ligne Linux Une fois la commande révélée, c'est le premier shell

.

saltstack の cmd.run モジュールを使用して、配下のマシンでマイニングを均一に実行します。

psshで拡散

通信したホストを取得し、接続を試みます。

リモート ホストに接続する場合、対話型のパスワード入力は表示されません。また、リモート ホストの秘密キーが変更されると、相手の秘密キーはユーザーにプロンプ​​トを表示せずに既知のホストに追加されます。 Linux シリアル ポート ドライバーは引き続き接続され、秘密キーの不一致による接続エラーは発生しません。

ansibleall-mshell-a は他のホストにログインして拡散します:

予防、治療、除去:

不明な Web サイトをクリックしないでください。不明な電子メールの添付ファイルを開かないでください。ウイルス対策ソフトウェアのウイルス データベースを定期的に更新してください。ウイルス対策ソフトウェアの手動ウイルス データベース更新機能をオンにすることをお勧めします。ノートブックの共有機能をオフにし、ノートブックへのリモート接続を可能にする機能をオフにします。最新のシステム パッチをインストールします。

釣り場へのヒント:

1. 偽アマゾン漁網:

欠点: ユーザーの電子メール アカウントとパスワード情報を取得します。

2. 偽の PDF フィッシング ネット:

欠点: ユーザーアカウントとパスワード情報を取得します。

3. 偽の Paypal 漁網:

欠点: ユーザーアカウントとパスワード情報を取得します。

4. 偽の Tencent ゲームフィッシング Web サイト:

欠点: ユーザーのクレジット カード番号とパスワード情報を取得します。

5. 偽の Gmail フィッシング Web サイト

欠点: ユーザーの電子メール アカウントとパスワード情報を取得します。

上記のような Web サイトを開かないでください。コンピューターのネットワーク ファイアウォールを開いたままにしてください。

上記の情報は天津ネットワーク情報セキュリティ緊急管理センターから提供されたものです

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!