Virus H2Miner menyerang platform Windows/Linux, berhati-hati terhadap program perlombongan yang berterusan dalam jangka panjang

H2Miner

주의 수준★★★

영향을 받는 플랫폼: Windows/Linux

바이러스 실행 본문 설명

공격자는 취약점을 이용하여 Windows 및 Linux 플랫폼에 침입합니다. Windows 플랫폼에서 공격 호스트는 XML 파일 wbw.xml을 다운로드하여 실행하고 XML 파일에서 PowerShell 명령을 실행한 다음 1.ps1이라는 스크립트를 다운로드합니다. 이 스크립트는 마이닝 프로그램과 마이닝 구성 파일을 다운로드하고 이름을 바꿉니다. 실행, 예약된 작업을 생성하고 30분마다 1.ps1 스크립트를 실행하여 지속성을 달성하고 Linux 플랫폼에서 일년 내내 공격 호스트에 머물면 공격 호스트는 wb.xml이라는 XML 파일을 다운로드하고 실행합니다. 동일한 방법으로 bash 스크립트가 생성되고 실행 후 마이닝 스크립트가 다운로드됩니다. 주요 기능에는 경쟁 마이닝 프로그램 및 예약된 작업 제거, MD5 교정, 보안 소프트웨어 제거, Kinsing 악성코드 다운로드 및 실행이 포함됩니다. Kinsing 악성코드는 채굴 기능 외에도 충돌이 발생한 호스트에서 측면 도어 열기 및 대량 스캔 포트 스캐닝 기능을 수행하고 C2 서버에 연결하여 버전 번호, 코어 수, 메모리 정보, 운영 체제 정보, 운영 체제 정보 등의 정보를 업로드합니다. 루트 권한 및 Uuid 등을 획득하고 수직 연결 등을 위한 후속 스크립트를 다운로드합니다.

Windows 플랫폼 커뮤니케이션 채널

Windows 플랫폼에서 공격자는 구성된 데이터 패킷을 피해자 호스트에 보내고 패킷의 실행 코드 부분을 원격 서버의 XML 파일에 배치합니다. 취약점이 성공적으로 악용되면 피해자 호스트는 공격자에게 액세스합니다. 원격 서버에 XML 파일을 설정하고 실행을 위해 구문 분석합니다.

Linux 플랫폼 소통채널

Linux 플랫폼 전파는 Windows 플랫폼 전파와 동일하며, 구성된 데이터 패킷을 피해자 호스트에 전송하고, 해당 패킷에 실행 코드 부분을 원격 서버의 XML 파일에 설치합니다. 피해자 호스트는 공격자가 설정한 원격 서버의 XML 파일 리눅스 전자책에 접근하여 이를 파싱하고 실행하게 된다.

공격 스캔들에 따라 샘플을 분류한 후 다음과 같은 정보를 얻었습니다.

Windows 샘플 분석

1.ps1

Monero 채굴 프로그램 주소 및 구성 파일의 다운로드 경로는 물론 저장 경로, 채굴 프로그램 이름 및 기타 정보를 정의하세요.

마이닝 프로그램을 다운로드하고 TMP 디렉터리에 마이닝 프로그램을 저장한 후 sysupdate.exe로 이름을 바꿉니다.

마이닝 구성 파일을 다운로드하고 TMP 디렉터리에 구성 파일을 저장한 후 이름을 config.json으로 바꿉니다.

프로그램을 업데이트하고 예약된 작업을 생성하고 WindowsService용 Updateservice라는 예약된 작업을 생성하고 30분마다 무기한 반복합니다. 이 예약된 작업은 PowerShell을 사용하여 1.ps1 스크립트를 실행합니다.

구성 파일 config.json

구성 파일에는 5개의 마이닝 풀 주소가 있습니다. 지갑 주소는 모두 4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC입니다.

Linux 샘플 분석

md.sh

두 개의 스크립트 파일을 다운로드하세요. 두 개의 스크립트 파일의 기능은 감염된 호스트에서 보안 소프트웨어를 제거하는 것입니다.

경쟁 제품의 채굴 프로그램을 제거하세요.

경쟁 제품의 예약된 작업을 제거하세요.

킨싱 악성코드

채굴

샘플이 실행되면 tmp 디렉토리에 kdevtmpfsi라는 마이닝 프로그램이 생성되어 실행됩니다.

사이드도어 기능

이 옆문 코드는 호스트에서 임의의 명령을 실행할 수 있습니다.

대량스캔 스캔

firewire.sh라는 스크립트 파일을 생성합니다. 이 스크립트 파일에는 대량 스캔 스캐너로 확인되는 외부 MD5 해시 값이 있습니다. Masscan은 nmap 도구와 유사한 기능을 하는 고성능 포트 스캐너입니다.

C2 커뮤니케이션

악성코드는 HTTP를 통해 C2 서버와 통신하며, 공격 호스트는 코어 수, 메모리 정보, 운영 체제 정보, 루트 권한 및 UUID 획득 여부 등 시스템 상태 및 시스템 리소스 정보를 보내도록 요청합니다. 이러한 모든 매개변수는 사용자 정의 HTTP 헤더를 사용하여 C2 서버로 전송됩니다.

공격 호스트는 get을 통해 지속적으로 C2 서버에 요청하고, Sign 배열은 서버가 응답한 후 전달되는 악성 Shell 스크립트입니다.

Hos penyerang akan menggunakan /mg untuk meminta pelayan C2 Pelayan C2 akan bertindak balas dengan beberapa aksara Hos penyerang menggunakan JSON-RPC untuk menghantar maklumat hos melalui HTTP.

Muat turun skrip cron.sh, yang berfungsi untuk menamatkan program perlombongan produk yang bersaing.

Muat turun skrip spre.sh Skrip akan mencari dan memadankan dari /.ssh/config, .bash_history, /.ssh/known_hosts untuk menemui sasaran serangan, mencari maklumat pengesahan identiti yang sepadan dan mengesan ~/ , ~/.bash_history dan .ssh/known_hosts cuba melakukan operasi seperti sambungan menegak.

Analisis Perhubungan

Melalui analisis korelasi, kami menemui satu lagi fail skrip xx.sh pada aset organisasi Fungsi xx.sh adalah untuk memuat turun Rootkit bernama libsystem.so dan perisian hasad lain daripada 194.38.20.199/libsystem.so. Skrip lain kemudian pramuat rootkit ke dalam /etc/ld.so.preload.

Skrip juga mendaftarkan perkhidmatan sistem untuk kegigihan yang menjangkiti semula hos secara berkala.

Pencegahan, rawatan dan penghapusan:

Jangan klik pada tapak web yang tidak diketahui; buka lampiran e-mel yang tidak diketahui dengan kerap mengemas kini pangkalan data virus perisian anti-virus anda. Matikan fungsi perkongsian buku nota dan matikan fungsi yang membenarkan sambungan jauh ke buku nota. Pasang patch sistem terkini.

Trojan.Linux.MINER.C

Tahap berhati-hati★★★

Platform yang terjejas:Linux

Penerangan badan pelaksanaan virus

Baru-baru inipermainan dalam talian linux, fail varian terbaharu Trojan perlombongan DDG telah dirampas Perlombongan untuk mencapai tujuan perlombongan eksklusif sumber sistem. Namanya ialah: Trojan.Linux.MINER.C.

Badan virus adalah fail bunian:

Gunakan pautan baca untuk membaca laluan fail proses anda sendiri:

Dedahkan kod shell dalam sumber Kod yang didedahkan adalah semua shell yang disulitkan base64:

Buat fail 01 dalam folder .X11-unix Fail ini digunakan untuk menyimpan pid proses virus selepas menjalankan shell nanti:

Cangkang yang akhirnya melaksanakan rahsia:

Cangkang pertama mendedahkan:

Skrip ini adalah proses daemon program perlombongan Ia digunakan terutamanya untuk memantau sama ada program perlombongan sedang berjalan Jika ia berhenti berjalan, ia akan memuat turun program perlombongan.

Skrip ini menggunakan don untuk menyelesaikan nama domain dan memuat turun dan melombong melalui proksi tor Seperti varian lain, fungsi utamanya adalah untuk memintas pertahanan IDS vendor keselamatan utama.

Cara untuk menentukan sama ada program perlombongan sedang berjalan adalah seperti yang ditunjukkan dalam gambar di sebelah kanan Anda boleh menentukan sama ada perlombongan berlaku dengan mendapatkan proses perlombongan direkodkan dalam .x11-unix/01 Jika pid ini tidak wujud, a perlombongan akan dimulakan semula:

Baris pertama skrip ini 20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S ialah nama fail fail shell yang disimpan secara setempat dan tugas berjadual yang berkaitan:

Selepas membukanya, saya menjumpai skrip ini:

Skrip shell kedua pada asasnya sama dengan skrip shell pertama.

Skrip shell ketiga digunakan terutamanya untuk memadam virus perlombongan produk yang bersaing.

Padamkan tugasan berjadual dan fail virus perlombongan yang bersaing untuk memonopoli sumber sistem. Kami menemui varian unix.db di dalamnya, dan AsiaInfo telah menangkap varian ini seawal pertengahan 2020

Tamatkan proses yang berkaitan dengan jangkauan berikut:

Padamkan fail shell produk perlombongan yang bersaing dan tamatkan proses penggunaan CPU yang tinggi dalam sistem.

Tamatkan proses dengan rentetan berikut, antaranya proses seperti kthreadi juga merupakan virus perlombongan biasa di Linux.

Cangkang keempat ialah modul penyebaran dan penamat beberapa perkhidmatan hos awan.

Tamatkan perkhidmatan dan fail berkaitan hos awan.

knifessh memanggil arahan SSH pada semua nodpermainan dalam talian linux Selepas arahan itu didedahkan, ia adalah shell pertama

使用saltstack的cmd.run模块对下属机器统一执行挖矿。

借助pssh传播

获取通信过的hosts，并尝试联接。

在联接远程主机时不会显示交互式口令输入，会主动把对方的私钥加到known-hosts中，而不会提示用户是否要记录这样的信息，且当远程主机的私钥变化了，依然会联接上linux串口驱动，不会出现由于私钥不对联接失败。

ansibleall-mshell-a登陆其他主机传播：

防治和消除：

不要点击不明网站；打开不明电邮附件；定时时常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能，关掉容许远程联接笔记本的功能。安装最新的系统补丁。

垂钓网站提示：

1、假冒亚马逊类垂钓网：

害处：套取用户邮箱帐号及密码信息。

2、假冒PDF类垂钓网：

害处：套取用户帐号及密码信息。

3、假冒Paypal类垂钓网：

害处：套取用户帐号及密码信息。

4、假冒腾讯游戏类垂钓网站:

害处：套取用户信用卡号及密码信息。

5、假冒Gmail类垂钓网站

害处：套取用户邮箱帐号及密码信息。

切勿打开类似上述网站，保持计算机的网路防火墙打开。

以上信息由天津市网路与信息安全应急管理事务中心提供

Atas ialah kandungan terperinci Virus H2Miner menyerang platform Windows/Linux, berhati-hati terhadap program perlombongan yang berterusan dalam jangka panjang. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!