双平台传播——活跃的H2Miner组织挖矿分析

今年11月以来，安天CERT捕获多批次H2Miner自2019年以来，挖矿组织一直活跃起来Linux与Windows双平台传播恶意脚本，最终下载门罗币挖掘程序等后门、端口扫描工具。安天智甲终端防御系统(以下简称IEP）Windows与Linux该版本可以检查和有效保护挖掘木马。本文3543字，预计9分钟内完成。

该组织在Linux平台上传播Kinsing僵尸网络之所以被命名，是因为它的守护过程被称为kinsing.恶意软件具有开采功能，同时在失陷主机上打开后门masscan端口扫描功能，连接C2服务器上传基本信息，并下载脚本进行横向移动。

该组织在Windows挖门罗币的程序在平台上传播，采用开源挖矿程序xmrig.exe采矿，版本号为6.4.0，配置文件中的钱包地址已被各大矿池禁止。

经验证，安天智甲终端防御系统(简称IEP）Windows与Linux该版本可以实现对挖掘木马的查杀和有效保护。

攻击者将挖掘木马和挖掘木马放入目标系统Kinsing恶意软件，梳理攻击对应的事件ATT&CK映射图谱如下图所示。

图2-1 事件对应ATT&CK映射图谱

如下表所示：

表2-1 事件对应ATT&CK技术行为描述表

3.1 攻击流程

攻击者利用漏洞入侵Windows平台和Linux平台。在Windows在平台机在平台上下载并执行wbw.xml的XML文件，在XML执行一段文件PowerShell命令，下载名称1.ps1脚本，脚本下载采矿程序和采矿配置文件并重命名执行，创建计划任务每30分钟执行一次1.ps1实现长期停留失陷主机的脚本；在Linux在平台机在平台上下载并执行名为wb.xml的XML文件，该XML用同样的方法嵌入一段文件bash脚本，实施后下载挖掘脚本，主要功能包括清除竞争产品的挖掘程序和计划任务MD5安全软件载安全软件和下载Kinsing并执行恶意软件等。Kinsing恶意软件不仅具有挖掘功能，还在失陷主机上打开后门masscan连接端口扫描等功能C2上传版本号、内核数量、内存信息、操作系统信息、是否获取 Root 权限和Uuid下载后续脚本进行横向移动等信息。

图3-1 整体攻击过程

3.2 Windows平台传播途径

在Windows在平台上，攻击者向受害者主机发送一个结构化的数据包，并在远程服务器中安装数据包中的可执行代码XML在文件中，当漏洞成功使用时，受害者主机会访问攻击者架设远程服务器XML分析和执行文件。

图3-2 Windows平台传播

3.3 Linux平台传播途径

Linux平台传播与Windows同样的平台传输方式，构建好的数据包也发送到受害者主机，远程服务器上安装数据包中的可执行代码XML在文件中，当漏洞成功使用时，受害者主机会访问攻击者架设远程服务器XML分析和执行文件。

图3-3 Linux平台传播

3.4 整理攻击事件样本

根据攻击事件梳理样本，获得以下信息：

表3-1 整理攻击事件样本

表3-2 Windows采矿配置文件中的矿池和钱包地址

建议企业采取以下防护措施：

1. 安装终端防护：安装反病毒软件，建议安装安天智甲终端防御系统，针对不同平台Windows/Linux版本；

2. 加强SSH密码强度：避免使用弱密码，建议使用16位或更长的密码，包括大小写字母、数字和符号，并避免多个服务器使用相同的密码；

3. 及时更新补丁：建议自动更新功能安装系统补丁，服务器应及时更新系统补丁；

4. 及时更新第三方应用补丁：建议及时更新第三方应用Weblogic等待应用程序补丁；

5. 开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志)为安全事件的跟踪追溯提供基础；

6. 主机加固：系统渗透试验及安全加固；

7. 部署入侵检测系统（IDS）：部署流量监控软件或设备，便于发现和跟踪恶意代码。安天探海威胁检测系统(PTD）以网络流量为检测分析对象，准确检测已知的大量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各种未知威胁；

8. 安天服务：如遇恶意软件攻击，建议及时隔离攻击主机，保护现场等待安全工程师对计算机进行调查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）Windows版和Linux所有版本都可以检查和有效保护挖掘木马和恶意软件。

图4-1 安天智甲有效保护

5.1 Windows样本分析

5.1.1 1.ps1

表5-1 脚本文件

定义门罗币挖掘程序地址和配置文件的下载路径、保存路径和挖掘程序名称：

图5-1 下载采矿程序

下载采矿程序并保存采矿程序TMP并重命名目录sysupdate.exe。

图5-2 重命名采矿程序

下载采矿配置文件并保存配置文件TMP并重命名目录config.json。

图5-3 重命名配置文件

更新程序和创建计划任务，创建名为Update service for Windows Service每30分钟重复一次计划任务。使用计划任务PowerShell执行1.ps1脚本。

图5-4 创建计划任务

5.1.2 配置文件config.json

配置文件中有5个矿池地址，钱包地址都是4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC，以下是配置文件的一部分：

"url": "45.136.244.146:3333",

"user": "4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC",

"url": "37.59.44.193:3333",

"user": "4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC",

"url": "94.23.23.52:3333",

"user": "4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC",

"url": "pool.minexmr.com:3333",

"user": "4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC",

"url": "pool.supportxmr.com:3333",

"user": "4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC",

5.2 Linux样本分析

5.2.1 md.sh

表5-2 脚本文件

下载两个脚本文件，两个脚本文件的功能是卸载感染主机上的安全软件。

图5-5 卸载安全软件

清除竞争产品的采矿程序。

图5-6 清除竞争性采矿程序

清除竞争产品的计划任务。

图5-7 清除竞争计划任务

5.2.2 kinsing恶意软件

表5-3 二进制可执行文件

5.2.2.1 挖矿

样本执行后，将在tmp在目录下创建名称kdevtmpfsi并执行采矿程序。

图5-8 创建并执行采矿程序

5.2.2.2 后门功能

该后门代码可以实现在主机上执行任意命令。

图5-9 执行任何命令

5.2.2.3 masscan扫描

创建名为firewire.sh内置一个脚本文件MD5经验证的哈希值为masscan扫描器。masscan 是一种功能相似的高性能端口扫描仪nmap工具。

图5-10 masscan扫描

5.2.2.4 C2通信

恶意软件通过 HTTP 与 C2 服务器通信，失陷主机会要求发送系统状态和系统资源信息，如核数量、内存信息、操作系统信息以及是否获得 Root 权限和UUID等等。所有这些参数都使用自定义 HTTP 头发送给 C2 服务器。

图5-11 发送主机信息等

失陷主机不断通过get请求C2服务器，Sign该字段是服务器响应后传递的恶意 Shell 脚本。

图5-12 传递恶意Shell脚本

使用失陷主机/失陷主机mg对C2请求服务器，C2对于失陷主机，服务器会响应几个字符JSON-RPC 形式通过 HTTP 发送主机信息。

图5-13 JSON-RPC形式回传

下载cron.sh脚本的功能是结束竞争产品的采矿程序。

图5-14 结束竞争性采矿程序

下载spre.sh脚本会从 ///.ssh/config,.bash_history,/.ssh/known_hosts搜索和匹配，找到攻击目标，到相应的身份验证信息，检查 ~/.ssh/config、~/.bash_history和 .ssh/known_hosts尝试横向移动等操作。

图5-15 横向移动

5.2.2.5 关联分析

通过关联分析，我们在该组织的资产上找到了另一份脚本文件xx.sh，xx.sh从 的功能194.38.20.199/libsystem.so下载的地方叫 libsystem.so的Rootkit还有其他恶意软件。然后其他脚本会 Rootkit预加载到/etc/ld.so.preload。

图5-16 下载Rootkit

脚本还注册了定期重新感染主机的系统服务进行持久化。

图5-17 系统服务持久

在此，安天CERT对采矿木马提出以下调查建议：

针对Linux用户

进程：

1. Kinsing

2. Kdevtmpfsi

排查路径：

1. /tmp/kdevtempfsi

2. /etc/Kinsing

3. /tmp/Kinsing

4. /var/tmp/Kinsing

5. /dev/shm/Kinsing

6. /etc/kdevtmpfsi

7. /tmp/kdevtmpfsi

8. /var/tmp/kdevtmpfsi

9. /dev/shm/kdevtmpfsi

10. /etc/libsystem.so

计划任务：

185.191.32.198相关计划任务

预加载配置：

排查清理/etc/ld.so.preload恶意预加载配置项

针对Windows用户：

进程：

sysupdate.exe

排查路径：

1. TMP\sysupdate.exe

2. TMP\config.json

3. TMP\update.ps1

计划任务：

Update service for Windows Service

表7-1 IoCs

[1] 木马挖掘简要技术分析

https://www.antiy.cn/research/notice&report/research_report/20211015.html