服务器挖矿 活跃的Hezb挖矿木马分析

nebularpool1个月前

服务器挖矿 活跃的Hezb挖矿木马分析

01 概述 2022年5月以来,安天CERT陆续捕获Hezb挖矿木马攻击样本,主要利用WSO2[1] RCE(5月CVE-2022-29464)漏洞)进行传播,该漏洞为一个无需身份验证的任意文件上传漏洞,允许未经身份验证的攻击者通过上传恶意JSP文件来获取WSO2服务器上的RCE。自[2] OGNL (CVE-2022-2613 4)漏洞利用详情公布后,Hezb挖矿木马开始利用该漏洞进行传播。该漏洞允许远程攻击者构造OGNL表达式进行注入,无需认证,可在Data 任意代码上或上执行,以上两个漏洞均属于第三方软件漏洞服务器挖矿,并非系统本身,因此极有可能传播到企业服务器,请及时更新WSO2及补丁可以避免挖矿木马感染。

服务器挖矿 活跃的Hezb挖矿木马分析

目前挖矿木马比较活跃服务器挖矿,同时向Linux和双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿:使用Shell脚本在Linux平台执行挖矿程序,脚本还将具有清除竞争挖矿程序、下载其他恶意脚本和创建计划任务等功能;使用平台上的bat脚本执行挖矿程序;该脚本的其他功能与shell脚本基本相同。

02事件对应的ATT&CK映射图 攻击者在目标系统投放挖矿木马,该攻击事件对应的ATT&CK映射图如下图所示。

图2-1 ATT&CK事件对应映射图

攻击者使用的技术要点如下表:

表2-1 ATT&CK事件对应的技术行为描述表

ATT&CK 阶段/类别

具体行为

评论

侦察

主动扫描

扫描漏洞

初始访问

使用面向公众的应用程序

利用其他面向公众的应用程序

执行

使用命令和脚本解释器

使用 bat 和 shell 脚本

坚持

使用计划任务/作业

设置计划任务

特权提升

利用漏洞提升权限

使用 CVE-2021-4034 提升权限

防御规避

修改注册表

删除注册表自启动项的内容

混淆的文件或消息

混淆脚本代码

凭证访问

从存储密码的位置获取凭据

从 SSH 密钥、历史记录和配置文件等中获取凭据。

发现

发现过程

发现竞争产品的过程

影响

资源劫持

使用系统 CPU 资源

03 攻击过程3.1 攻击过程 Hezb挖矿木马使用名为“kill.bat”的bat脚本在平台上执行其主要功能。具体功能是结束竞品的挖矿过程,执行门罗币挖矿。挖矿并下载一个名为“mad.bat”的脚本,这是门罗币挖矿程序的配置文件。使用Linux平台名为“ap.sh”的shell脚本执行主要功能,具体功能为下载curl工具,方便后续恶意脚本下载,结束竞品挖矿程序,横向移动,卸载安全软件、执行名为“ap.txt”的脚本、下载kik恶意样本、执行挖矿程序等。

图 3-1 攻击过程

3.2 攻击事件样本排序 根据攻击事件对样本事件进行排序,得到如下信息: 表3‑1 攻击事件样本排序

示例下载地址

详情

hxxp[:]//202.2*.229.174/ap.sh

Linux 攻击脚本

hxxp[:]//202.2*.229.174/ap.txt

Linux 攻击脚本

hxxp[:]//202.2*.229.174/ldr.sh

Linux 攻击脚本

hxxp[:]//202.2*.229.174/ko

利用

hxxp[:]//202.2*.229.174/kik

结束比赛项目

hxxp[:]//202.2*.229.174/win/kill.bat

攻击脚本

hxxp[:]//202.2*.229.174/win/mad.bat

挖矿配置文件

hxxp[:]//202.2*.229.174/win/dom-6.zip

开源挖矿压缩包

hxxp[:]//202.2*.229.174/win/dom.zip

开源挖矿压缩包

hxxp[:]//202.2*.229.174/xmrig.tar.gz

开源挖矿压缩包

通过关联发现示例下载地址中有一个win目录。在这个目录下,可以找到一个解压软件、两个挖矿程序压缩包和两个攻击脚本。已确定所有与挖矿相关的样本都存放在此目录中。

图3-2 win目录下的所有文件

表3-2 挖矿脚本中的矿池地址和钱包地址

矿池地址

钱包地址

199.247.0.216[:]80

海湾..[:]10128

根据矿池地址记录,目前开源矿池上钱包的平均算力约为540KH/s。

图3-3 挖矿统计记录04 防护建议 对于非法挖矿,安天建议企业采取以下防护措施: 1. 安装终端防护:安装杀毒软件; 2. 加强SSH密码强度:避免使用弱密码服务器挖矿,建议使用16位或更长的密码服务器挖矿,包括大小写字母、数字和符号的组合服务器挖矿,避免多台服务器使用同一个密码; 3. 及时更新补丁:建议开启自动更新功能,安装系统补丁,服务器、数据库、中间件等易受攻击的部分要及时更新;和其他应用程序补丁; 5.启用日志:启用关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志、日志),为跟踪安全事件提供依据; 6. 主机加固:系统的渗透测试和安全加固;

05 样本分析

5.样本分析

5.1.1ap.sh

定义示例下载网站和curl工具下载地址,配置curl工具参数等

图 5‑1 定义下载网站和 curl 工具

结束竞争性挖矿计划。

图 5‑2 结束竞争性挖矿计划

卸载安全软件。

图 5-3 卸载安全软件

定义矿池地址,执行ap.txt脚本和挖矿程序,命名为hezb。

图 5‑4 将挖矿程序命名为 hezb

搜索并匹配存储在/.ssh/、.、/.ssh/等主机中的SSH密钥、历史记录和配置文件,以发现攻击目标并找到相应的认证信息,查看~/.ssh/、~/。和 .ssh/ 尝试横向移动等。

图 5-5 横向移动

获取kik URL并执行它。

图5-6 执行kik5.1.2ap.txt

检查当前进程中是否存在hezb。如果没有服务器挖矿,请下载 ldr.sh 脚本。

图5-7 下载ldr.sh脚本5.1.3ldr.sh

ldr.sh和ap.sh的代码基本相同,只是修改了矿池地址和钱包地址。推测该脚本是ap.sh的更新版本。

图5-8 矿池地址和钱包地址5.1.4ko

二进制程序已被判定为CVE-2021-4034漏洞利用,成功利用该漏洞将增加本地权限。该程序的利用代码与上面的代码相同。

图 5-9 CVE-2021-4034 漏洞利用5.1.5kik

二进制尝试匹配特定值,同时排除其他值并将结果通过管道传递给“kill -9”。循环执行,将“”打印到标准输出。

图5-10结束部分流程5.样本分析

5.2.1kill.bat

结束竞品挖矿进程,结束%TEMP%和%%目录下名为.exe的程序服务器挖矿,删除注册表自启动下的“Run2”和“Run”。

图5-11 结束竞价挖矿流程,查看挖矿程序是否正在运行。

图 5‑12 检查挖矿程序是否正在运行

下载 mad.bat 脚本以执行后续功能。

图5-13 下载mad.bat脚本5.2.2mad.bat

mad.bat为初始默认脚本,添加了攻击者的钱包地址和示例下载目录。

图5-14 挖矿程序配置文件

IOC

199.247.0.216

106.251.252.226

海湾..:10128

hxxp[:]//202.2*.229.174/ap.sh

hxxp[:]//202.2*.229.174/ap.txt

hxxp[:]//202.2*.229.174/ldr.sh

hxxp[:]//202.2*.229.174/ko

hxxp[:]//202.2*.229.174/kik

hxxp[:]//202.2*.229.174/win/kill.bat

hxxp[:]//202.2*.229.174/win/mad.bat

hxxp[:]//202.2*.229.174/win/dom-6.zip

hxxp[:]//202.2*.229.174/win/dom.zip

hxxp[:]//202.2*.229.174/xmrig.tar.gz

参考文献

[1] WSO2

[2]

相关文章

filecoin云算力购买-Filecoin网络“云算力”究竟是什么?(Filecoin云算力)

filecoin云算力购买-Filecoin网络“云算力”究竟是什么?(Filecoin云算力)

filecoin云算力购买-Filecoin网络“云算力”究竟是什么? 作者|阿荣 来源|IPFS荣来科技 主网即将上线,挖矿市场早已按捺不住,无论是挖矿服务商还是普通投资者,都在为偌大的分布式存储市场做准备,希冀自己能在这个蓝海中占据一席之地,哪怕没有,也不能缺席这个暴利市场。 目前,整个挖矿类型,大致可以分为两大类——单体矿机挖矿和集群挖矿,集群挖矿又分为简单集群挖矿和复杂集群挖矿fil...

虚拟货币挖矿 国家发改委:严防虚拟货币“挖矿”活动“死灰复燃”

虚拟货币挖矿 国家发改委:严防虚拟货币“挖矿”活动“死灰复燃”

虚拟货币挖矿 国家发改委:严防虚拟货币“挖矿”活动“死灰复燃” 北车北京11月16日电 11月16日,国家发改委召开例行新闻发布会。会上,国家发改委新闻发言人孟伟表示,国家发改委将继续做好虚拟货币“挖矿”全链条的治理工作,建立长长期机制,严防“死灰复燃”。 孟伟表示虚拟货币挖矿,虚拟货币是一种特定的虚拟商品,不是货币当局发行的,不具有法律补偿性和强制性,不是真实货币,不应该也不能作为市场上的货...

挖易云算力 以太坊gas费下降93%,矿工却疯狂购买矿机

挖易云算力 以太坊gas费下降93%,矿工却疯狂购买矿机

挖易云算力 以太坊gas费下降93%,矿工却疯狂购买矿机 区块天眼APP新闻:以太坊算力,同比增长100% 从提供的数据来看,整个以太坊网络的平均算力在 2018 年 8 月 9 日达到了 295T 的历史新高,之后算力开始下降。 2020年1月,数据从128T开始缓慢上升。 7月之后,数据开始快速回升。如今,其全网平均算力为260T。总体而言,2020年以太坊的算力增长了约100%。 7 月份...

挖矿币 不只是比特币挖矿,还有什么数字本地货币更适合挖矿?

挖矿币 不只是比特币挖矿,还有什么数字本地货币更适合挖矿?

挖矿币 不只是比特币挖矿,还有什么数字本地货币更适合挖矿? 不只是比特币挖矿,还有什么数字本地货币更适合挖矿? 2013年流行的数字货币包括比特币、莱特币、无限币、夸克币、Zeta币、BBQ币、便士币(内网)、隐形金条、红币、Prime币。全球发行了数百种本地数字货币。 根据《关于严格防范代币发行和融资风险的公告》,中国尚无获批的数字本币交易平台。根据我国数字货币监管规定,投资者可以自由参与数字货...

云服务器支持pos挖矿-什么是挖矿?矿机要怎么组装?(pos如何挖矿)

云服务器支持pos挖矿-什么是挖矿?矿机要怎么组装?(pos如何挖矿)

第一什么是挖矿? 其实挖矿就是数字货币诞生的过程,通过工作量证明的机制来获取到对整个网络进行贡献,计算出区块,因为跟网络进行了贡献,区块的奖励也属于挖矿的人,从而获得新的货币。目前挖矿主要是POW的算法,还有基于POW还有一些衍生的算法,目前绝大部分的比特币、莱特币、以太坊等等都是基于POW的算法的。算力越高,单位时间内获得的数字货币可能性就越大。 挖矿从最早的比特币挖矿起,以比特币为代表了解...

挖矿软件app 手机上最受欢迎的3款挖矿软件(手机挖矿免费挖矿项目)

挖矿软件app 手机上最受欢迎的3款挖矿软件(手机挖矿免费挖矿项目)

挖矿软件app 手机上最受欢迎的3款挖矿软件(手机挖矿免费挖矿项目) 手机不能挖矿,大大提高了挖矿效率。另外2017年矿圈机会很少,之前做过USB矿机挖矿项目,交易和挖矿机制比较完善。 只有获得邀请码,您才有机会参与手机挖矿。手机可以挖矿,两部手机3天就可以买一台专业的阿瓦隆第三代矿机进行挖矿。一段时间后,点击APP领取矿井。 并且它支持多种双重挖矿组合。软件中有很多矿产资源。现已广泛推广各类挖...

云算力收费 01参与Filecoin云计算产品9大维度

云算力收费 01参与Filecoin云计算产品9大维度

云算力收费 01参与Filecoin云计算产品9大维度 20条朋友圈新闻中有10条广告,其中有7条是相关的。 主网即将上线,狂热的投资者和新闻充斥着空气,但你真的对你了解那么多吗?其中哪些是机会,哪些是陷阱? 为了让读者更深入地了解投资,深链财经推出了“穿越投资迷雾”专栏。希望与大家一起摸清投资游戏规则,抓住机遇,减少陷阱。 本文为本主题的第二部分:云计算能力。 云算力市场喜忧参半。本文将为你揭...

算力蜂云算力挖矿-Filecoin主网上线在即如何甄别云算力(算力蜂云算力挖矿平台)

算力蜂云算力挖矿-Filecoin主网上线在即如何甄别云算力 首先能能简单介绍一下您自己和云虎IPFS超级算力吗? Hi,大家好,很高兴接到gate的邀请,我是云虎算力CMO ,负责云虎的品牌建设,市场营销及战略合作。 云虎ipfs超级算力是一家ipfs算力整合服务商,在行业内深耕多年,拥有丰富的软件、硬件和运维支持经验。团队于2018年正式进入分布式存储行业,对技术路径的分析和研究拥有独到的见解...

云算力收费 比特大陆新业务:云计算能否救吴忌寒?

云算力收费 比特大陆新业务:云计算能否救吴忌寒?

云算力收费 比特大陆新业务:云计算能否救吴忌寒? 做云算力,不仅是为了吸纳最新一代的矿机,也是为了维护算力的话语权。 与巅峰时期相比,比特大陆的估值缩水了近 40%。 胡润研究院去年11月初发布的“2018年第三季度胡润大中华独角兽指数”显示,比特大陆的估值因业绩良好、融资、提交上市申请等一系列举措而上涨。今年上半年。高达800亿元。 此后,币市经历了一轮暴跌,严重影响了比特大陆的矿机销售。 截至...

云服务器 算力 中国移动计算网络升级3AZ发布计算网络共生助力数字经济

云服务器 算力 中国移动计算网络升级3AZ发布计算网络共生助力数字经济

云服务器 算力 中国移动计算网络升级3AZ发布计算网络共生助力数字经济 7月8日(刘文轩)中国移动长期致力于建设基于算力网络的云资源新基础设施。2022年7月6日,中国移动计算网络升级3AZ大会在江苏苏州成功召开。会上,移动云双3AZ长三角节点发布,标志着移动云算力资源布局升级,将作为政府和制造业的平台。、互联网、医疗等行业客户提供国内领先的数字基础设施,以新动能推动新发展。 本次大会上,移动...

filecoin云算力挖矿在哪购买 Filecoin挖矿云算力和矿机有什么区别?

filecoin云算力挖矿在哪购买 Filecoin挖矿云算力和矿机有什么区别?

filecoin云算力挖矿在哪购买 Filecoin挖矿云算力和矿机有什么区别? 点击蓝字关注我 随着IPFS/的日益普及,越来越多的投资者想要加入风头正劲的FIL挖矿行列,那么如何参与呢?哪种方式参与比较好? 现在参与市场的方式有两种,一种是云算力挖矿,一种是物理矿机挖矿。那么购买云算力和购买矿机哪个方式更划算呢?从两种方法的优缺点详细分析: 什么是云计算能力 云计算实际上是一种远程挖矿模式...

虚拟币挖矿的原理-【深度】最惨华人首富是怎么“栽”在虚拟币上的?(虚拟货币挖矿原理)

虚拟币挖矿的原理-【深度】最惨华人首富是怎么“栽”在虚拟币上的?(虚拟货币挖矿原理)

虚拟币挖矿的原理-【深度】最惨华人首富是怎么“栽”在虚拟币上的? 进入2022年,一度牛气冲天的虚拟货币好景不再。 自2020年年中以来,全球主要数字/加密货币总市值首次跌破了1万亿美元,截至2022年6月18日凌晨,据英为财情数据显示,目前全球共有10887只虚拟货币,但总市值却仅剩下8941.5亿美元,比之今年年初的1.6万亿美元,虚拟货币市值已近腰斩。 而比特币(BTC)更是“飞流直下三千...