双平台传播——活跃的H2Miner组织挖矿分析

资讯 AntiyLab

2021-11-19 12,294

点击上方"蓝字"

关注我们吧！

今年11月以来，安天CERT陆续捕获到多批次H2Miner挖矿组织攻击事件，该挖矿组织自2019年出现，持续活跃，同时向Linux与Windows双平台传播恶意脚本，最终下载门罗币挖矿程序以及其他后门、端口扫描工具等。安天智甲终端防御系统Windows与Linux版本可实现对该挖矿木马的查杀与有效防护。本篇文章3543字，预计9分钟读完。

概述

近期，安天CERT陆续捕获到多批次H2Miner组织的攻击事件。H2Miner组织最早在2019年底使用Kinsing僵尸网络发起攻击，主要针对Linux服务器进行攻击。2020年末新版本更新中增加了对Windows平台的攻击。H2Miner主要使用RCE漏洞进行传播，本次捕获到的样本利用了CVE-2020-14883（WebLogic RCE漏洞）进行传播。

该组织在Linux平台上传播Kinsing僵尸网络，起名原因是其守护进程名为“kinsing”。该恶意软件具有挖矿功能，同时在失陷主机上开放后门，具有masscan端口扫描的功能，连接C2服务器上传基础信息，还具有下载脚本进行横向移动等功能。

该组织在Windows平台上传播挖门罗币的程序，该程序使用开源挖矿程序xmrig.exe进行挖矿，版本号为6.4.0，目前配置文件中的钱包地址已被各大矿池封禁。

事件对应的ATT&CK映射图谱

攻击者针对目标系统投放挖矿木马和Kinsing恶意软件，梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图2-1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示：

表2-1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别	具体行为	注释
侦察	主动扫描	主动扫描带有RCE漏洞的服务器
初始访问	利用面向公众的应用程序	利用Weblogic漏洞
执行	利用命令和脚本解释器	使用PowerShell和bash脚本
持久化	利用计划任务/工作	设置计划任务
防御规避	执行范围保护	守护进程kinsing
防御规避	使用Rootkit	下载libsystem.so执行Rootkit
凭证访问	从存储密码的位置获取凭证	读取SSH凭证信息
发现	扫描网络服务	使用masscan扫描器扫描服务
横向移动	横向传输工具或文件	横向传输脚本文件
收集	收集本地系统数据	收集本地系统信息
命令与控制	使用应用层协议	使用应用层协议下发指令
数据渗出	使用C2信道回传	使用与C2相同的信道回传

攻击流程和传播途径

3.1 攻击流程

攻击者利用漏洞入侵Windows平台和Linux平台。在Windows平台中，失陷主机下载并执行wbw.xml的XML文件，在XML文件中执行一段PowerShell命令，下载名为1.ps1的脚本，该脚本下载挖矿程序以及挖矿的配置文件并重命名执行，创建计划任务每30分钟执行一次1.ps1脚本，实现持久化长期驻留失陷主机；在Linux平台中，失陷主机下载并执行名为wb.xml的XML文件，该XML文件使用同样的手法内嵌了一段bash脚本，执行后下载挖矿脚本，主要功能包括清除竞品挖矿程序和计划任务、MD5校验、卸载安全软件和下载Kinsing恶意软件并执行等。Kinsing恶意软件不仅具有挖矿功能，还会在失陷主机上开放后门以及masscan端口扫描等功能，连接C2服务器上传版本号、内核数量、内存信息、操作系统信息、是否获得Root 权限和Uuid等信息，并会下载后续脚本进行横向移动等。

图3-1 整体攻击流程

3.2 Windows平台传播途径

在Windows平台中，攻击者向受害主机发送一个构造好的数据包，将该数据包中的可执行代码部分架设在远程服务器的XML文件中，当漏洞利用成功后，受害主机就会访问攻击者架设远程服务器的XML文件，并解析执行。

图3-2 Windows平台传播

3.3 Linux平台传播途径

Linux平台传播与Windows平台传播途径一样，同样向受害主机上发送构造好的数据包，将该数据包中的可执行代码部分架设在远程服务器的XML文件中，当漏洞利用成功后，受害主机就会访问攻击者架设远程服务器的XML文件，并解析执行。

图3-3 Linux平台传播

3.4 攻击事件样本整理

根据攻击事件对样本进行梳理得到如下信息：

表3-1 攻击事件样本整理

样本下载地址	详细说明
hxxp[:]//194.38.20.199/1.ps1	Windows恶意PowerShell
hxxp[:]//194.38.20.199/xmrig.exe	Windows门罗币挖矿程序
hxxp[:]//194.38.20.199/config.json	Windows挖矿配置文件
hxxp[:]//194.38.20.199/md.sh	Linux恶意shell
hxxp[:]//194.38.20.199/kinsing	Linux挖矿程序
hxxp[:]//194.38.20.199/spre.sh	横向移动脚本
hxxp[:]//194.38.20.199/wb.xml	Weblogic RCE payload（Linux）
hxxp[:]//194.38.20.199/wbw.xml	Weblogic RCE payload （Windows）

表3-2 Windows挖矿配置文件中的矿池和钱包地址

矿池地址	钱包地址
45.136.244.146:3333	4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQx VVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC
37.59.44.193:3333
94.23.23.52:3333
pool.minexmr.com:3333
pool.supportxmr.com:3333

防护建议

针对该挖矿木马安天建议企业采取如下防护措施：

1. 安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本；

2. 加强SSH口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3. 及时更新补丁：建议开启自动更新功能安装系统补丁，服务器应及时更新系统补丁；

4. 及时更新第三方应用补丁：建议及时更新第三方应用如Weblogic等应用程序补丁；

5. 开启日志：开启关键日志收集功能（安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；

6. 主机加固：对系统进行渗透测试及安全加固；

7. 部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。

样本分析

5.1 Windows样本分析

5.1.1 1.ps1

表5-1 脚本文件

病毒名称	Trojan/Win32.Ymacco
原始文件名	1.ps1
MD5	17342E104A7F14278A4236A4AAE2E967
文件大小	2.15KB (2,202 字节)
解释语言	PowerShell
VT首次上传时间	2021-02-17 10:06:02
VT检测结果	29/59

定义门罗币挖矿程序地址和配置文件的下载路径以及保存路径和挖矿程序名等信息：

图5-1 下载挖矿程序

下载挖矿程序，并将挖矿程序保存在TMP目录下，并重命名为sysupdate.exe。

图5-2 挖矿程序重命名

下载挖矿配置文件，并将配置文件保存在TMP目录下，并重命名为config.json。

图5-3 重命名配置文件

更新程序和创建计划任务，创建名为Update service for Windows Service的计划任务，无限期地每隔30分钟重复一次。该计划任务使用PowerShell执行1.ps1脚本。

图5-4 创建计划任务

5.1.2 配置文件config.json

配置文件中有5个矿池地址，钱包地址均为4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC，以下为配置文件中部分内容：

"url": "45.136.244.146:3333",