服务器挖矿 活跃的Hezb挖矿木马分析
服务器挖矿 活跃的Hezb挖矿木马分析
01 概述 2022年5月以来,安天CERT陆续捕获Hezb挖矿木马攻击样本,主要利用WSO2[1] RCE(5月CVE-2022-29464)漏洞)进行传播,该漏洞为一个无需身份验证的任意文件上传漏洞,允许未经身份验证的攻击者通过上传恶意JSP文件来获取WSO2服务器上的RCE。自[2] OGNL (CVE-2022-2613 4)漏洞利用详情公布后,Hezb挖矿木马开始利用该漏洞进行传播。该漏洞允许远程攻击者构造OGNL表达式进行注入,无需认证,可在Data 任意代码上或上执行,以上两个漏洞均属于第三方软件漏洞服务器挖矿,并非系统本身,因此极有可能传播到企业服务器,请及时更新WSO2及补丁可以避免挖矿木马感染。
目前挖矿木马比较活跃服务器挖矿,同时向Linux和双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿:使用Shell脚本在Linux平台执行挖矿程序,脚本还将具有清除竞争挖矿程序、下载其他恶意脚本和创建计划任务等功能;使用平台上的bat脚本执行挖矿程序;该脚本的其他功能与shell脚本基本相同。
02事件对应的ATT&CK映射图 攻击者在目标系统投放挖矿木马,该攻击事件对应的ATT&CK映射图如下图所示。
图2-1 ATT&CK事件对应映射图
攻击者使用的技术要点如下表:
表2-1 ATT&CK事件对应的技术行为描述表
ATT&CK 阶段/类别
具体行为
评论
侦察
主动扫描
扫描漏洞
初始访问
使用面向公众的应用程序
利用其他面向公众的应用程序
执行
使用命令和脚本解释器
使用 bat 和 shell 脚本
坚持
使用计划任务/作业
设置计划任务
特权提升
利用漏洞提升权限
使用 CVE-2021-4034 提升权限
防御规避
修改注册表
删除注册表自启动项的内容
混淆的文件或消息
混淆脚本代码
凭证访问
从存储密码的位置获取凭据
从 SSH 密钥、历史记录和配置文件等中获取凭据。
发现
发现过程
发现竞争产品的过程
影响
资源劫持
使用系统 CPU 资源
03 攻击过程3.1 攻击过程 Hezb挖矿木马使用名为“kill.bat”的bat脚本在平台上执行其主要功能。具体功能是结束竞品的挖矿过程,执行门罗币挖矿。挖矿并下载一个名为“mad.bat”的脚本,这是门罗币挖矿程序的配置文件。使用Linux平台名为“ap.sh”的shell脚本执行主要功能,具体功能为下载curl工具,方便后续恶意脚本下载,结束竞品挖矿程序,横向移动,卸载安全软件、执行名为“ap.txt”的脚本、下载kik恶意样本、执行挖矿程序等。
图 3-1 攻击过程
3.2 攻击事件样本排序 根据攻击事件对样本事件进行排序,得到如下信息: 表3‑1 攻击事件样本排序
示例下载地址
详情
hxxp[:]//202.2*.229.174/ap.sh
Linux 攻击脚本
hxxp[:]//202.2*.229.174/ap.txt
Linux 攻击脚本
hxxp[:]//202.2*.229.174/ldr.sh
Linux 攻击脚本
hxxp[:]//202.2*.229.174/ko
利用
hxxp[:]//202.2*.229.174/kik
结束比赛项目
hxxp[:]//202.2*.229.174/win/kill.bat
攻击脚本
hxxp[:]//202.2*.229.174/win/mad.bat
挖矿配置文件
hxxp[:]//202.2*.229.174/win/dom-6.zip
开源挖矿压缩包
hxxp[:]//202.2*.229.174/win/dom.zip
开源挖矿压缩包
hxxp[:]//202.2*.229.174/xmrig.tar.gz
开源挖矿压缩包
通过关联发现示例下载地址中有一个win目录。在这个目录下,可以找到一个解压软件、两个挖矿程序压缩包和两个攻击脚本。已确定所有与挖矿相关的样本都存放在此目录中。
图3-2 win目录下的所有文件
表3-2 挖矿脚本中的矿池地址和钱包地址
矿池地址
钱包地址
199.247.0.216[:]80
海湾..[:]10128
根据矿池地址记录,目前开源矿池上钱包的平均算力约为540KH/s。
图3-3 挖矿统计记录04 防护建议 对于非法挖矿,安天建议企业采取以下防护措施: 1. 安装终端防护:安装杀毒软件; 2. 加强SSH密码强度:避免使用弱密码服务器挖矿,建议使用16位或更长的密码服务器挖矿,包括大小写字母、数字和符号的组合服务器挖矿,避免多台服务器使用同一个密码; 3. 及时更新补丁:建议开启自动更新功能,安装系统补丁,服务器、数据库、中间件等易受攻击的部分要及时更新;和其他应用程序补丁; 5.启用日志:启用关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志、日志),为跟踪安全事件提供依据; 6. 主机加固:系统的渗透测试和安全加固;
05 样本分析
5.样本分析
5.1.1ap.sh
定义示例下载网站和curl工具下载地址,配置curl工具参数等
图 5‑1 定义下载网站和 curl 工具
结束竞争性挖矿计划。
图 5‑2 结束竞争性挖矿计划
卸载安全软件。
图 5-3 卸载安全软件
定义矿池地址,执行ap.txt脚本和挖矿程序,命名为hezb。
图 5‑4 将挖矿程序命名为 hezb
搜索并匹配存储在/.ssh/、.、/.ssh/等主机中的SSH密钥、历史记录和配置文件,以发现攻击目标并找到相应的认证信息,查看~/.ssh/、~/。和 .ssh/ 尝试横向移动等。
图 5-5 横向移动
获取kik URL并执行它。
图5-6 执行kik5.1.2ap.txt
检查当前进程中是否存在hezb。如果没有服务器挖矿,请下载 ldr.sh 脚本。
图5-7 下载ldr.sh脚本5.1.3ldr.sh
ldr.sh和ap.sh的代码基本相同,只是修改了矿池地址和钱包地址。推测该脚本是ap.sh的更新版本。
图5-8 矿池地址和钱包地址5.1.4ko
二进制程序已被判定为CVE-2021-4034漏洞利用,成功利用该漏洞将增加本地权限。该程序的利用代码与上面的代码相同。
图 5-9 CVE-2021-4034 漏洞利用5.1.5kik
二进制尝试匹配特定值,同时排除其他值并将结果通过管道传递给“kill -9”。循环执行,将“”打印到标准输出。
图5-10结束部分流程5.样本分析
5.2.1kill.bat
结束竞品挖矿进程,结束%TEMP%和%%目录下名为.exe的程序服务器挖矿,删除注册表自启动下的“Run2”和“Run”。
图5-11 结束竞价挖矿流程,查看挖矿程序是否正在运行。
图 5‑12 检查挖矿程序是否正在运行
下载 mad.bat 脚本以执行后续功能。
图5-13 下载mad.bat脚本5.2.2mad.bat
mad.bat为初始默认脚本,添加了攻击者的钱包地址和示例下载目录。
图5-14 挖矿程序配置文件
IOC
199.247.0.216
106.251.252.226
海湾..:10128
hxxp[:]//202.2*.229.174/ap.sh
hxxp[:]//202.2*.229.174/ap.txt
hxxp[:]//202.2*.229.174/ldr.sh
hxxp[:]//202.2*.229.174/ko
hxxp[:]//202.2*.229.174/kik
hxxp[:]//202.2*.229.174/win/kill.bat
hxxp[:]//202.2*.229.174/win/mad.bat
hxxp[:]//202.2*.229.174/win/dom-6.zip
hxxp[:]//202.2*.229.174/win/dom.zip
hxxp[:]//202.2*.229.174/xmrig.tar.gz
参考文献
[1] WSO2
[2]
