大地资源网视频在线观看新浪,日本春药精油按摩系列,成人av骚妻潮喷,国产xxxx搡xxxxx搡麻豆

北京天融信科技有限公司

免費會員
您現在的位置: 首頁> 公司動態> 小心你的服務器變“礦機”!天融信捕獲變異H2Miner挖礦木馬
免費會員·4年
人:
李天昊

掃一掃訪問手機商鋪

小心你的服務器變“礦機”!天融信捕獲變異H2Miner挖礦木馬

2024-4-12  閱讀(15)

分享:

近日,天融信諦聽實驗室捕獲到H2Miner組織挖礦木馬變種樣本。H2Miner組織活躍于2019年底,善于利用披露的RCE漏洞進行“撕口子"滲透攻擊,對目標服務器植入木馬,將其變為“礦機",最終實施非法挖礦活動,據悉該組織曾非法挖礦門羅幣獲利超370萬人民幣。


挖礦木馬出現于2012年,加密數字貨幣價格自2017年開始暴漲,門羅幣等匿名幣的出現,其不可追蹤、抗ASIC礦機的特性使得服務器的計算資源變得有利可圖。自2018年以來,挖礦木馬已成為互聯網中存在的主要安全威脅。



對于大部分互聯網用戶來說,挖礦木馬更像是隱藏在互聯網角落中的“寄生蟲",隱蔽性。該變種挖礦木馬具備Windows和Linux雙平臺攻擊能力,目前其主要攻擊的目標是Linux服務器。知已知彼方能百戰不殆,天融信自適應安全防御系統、EDR等均可精確檢測并查殺該變種挖礦木馬,有效阻止事件蔓延,而未部署的系統則可能面臨失陷。



各平臺病毒攻擊分析

Windows平臺攻擊分析


此次針對Windows平臺的H2Miner挖礦攻擊相對比較簡單,具體流程圖如下


H2Miner攻擊組織利用RCE漏洞及其他攻擊手段入侵Windows服務器后,執行PowerShell腳本下載挖礦病毒xmrig.exe和配置文件config.json,并存儲在Windows的&temp%目錄下,將xmrig.exe重命名為sysupdate.exe并執行,如下圖:


為實現自動啟動和持續挖礦,創建名稱為“Update service for Windows Service"的計劃任務,并每隔30分鐘啟動PowerShell執行更新腳本。


次攻擊中H2Miner使用的礦池地址和錢包地址與2021年批露的相同。



礦池地址:


地址

45.136.244.146:333

37.59.44.193:3333

94.23.23.52:3333

pool.minexmr.com:3333

pool.supportxmr.com:3333



錢包地址:

4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC。

該錢包地址在2020年12月開始被H2Miner使用。


Linux平臺攻擊分析

與對Windows的攻擊相比,針對Linux平臺的攻擊相對復雜,具體流程圖如下:


攻擊者利用RCE漏洞成功入侵Linux服務器后,便植入并運行ap.sh腳本,刪除iptables規則,禁用防火墻和watchdog等安全機制。



設置惡意文件釋放目錄,如果當前登錄的是Root用戶,會在/etc路徑下釋放惡意文件。而非Root用戶則根據優先級順序選擇惡意文件釋放路徑,優先選擇優先級為1的/tmp目錄,如果目錄不存在或者不可寫,便根據優先級選擇下一個路徑,應急溯源時建議優先排查以下路徑,具體優先級如下:

優先級

路徑

1

/tmp

2

/var/tmp

3

$TMP_DIR

4

/dev/shm


從194.38.20.242下載kingsing主體惡意模塊、curl-amd64程序和惡意的動態鏈接庫libsystem.so。


為實現資源獨占,刪除其他挖礦病毒的進程。


刪除其他挖礦病毒植入的計劃任務。


設置crontab定時任務每分鐘執行一次從備份服務器下載ap.sh,確保ap.sh的持久性。


運行Kinsing主體惡意程序,運行后會根據環境和命令釋放加載kdevtmpfsi挖礦程序、firewire端口掃描工具和Spre.sh橫向滲透shell模塊。

undefined


H2Miner涉及到的組件名字及其功能如下:

文件名字

功能及作用

ap.sh

原始感染執行的腳本

kinsing

主體惡意程序模塊。包含masscan掃描、橫向移動、下載后續sh腳本、redis服務爆破、與C&C服務器通信,接收并執行遠程命令等功能。

kdevtmpfsi

挖礦程序進程

Spre.sh

橫向擴散模塊

firewire

端口掃描

libsystem.so

自啟動持久化組件

Bot

注冊的服務名字




五種方式防護病毒攻擊




針對H2Miner挖礦木馬,可通過以下幾種方式加強防御或病毒查殺:


方式一

及時修復系統及應用漏洞,降低被H2Miner通過漏洞入侵的風險。

方式二

關閉不必要的端口、服務和進程,降低資產風險暴露面。

方式三

通過防火墻添加阻斷規則,禁止內網主機訪問礦池地址。

方式四

更改系統及應用使用的默認密碼,配置高強度密碼認證,并定期更新密碼,防止弱口令攻擊。

方式五

可安裝天融信自適應安全防御系統或者天融信EDR進行主動防御,可有效預防和查殺該挖礦病毒。



undefined




天融信產品防御配置




天融信自適應安全防御系統防御配置


1.通過微隔離策略禁止訪問礦池地址;

2.通過風險發現功能掃描系統是否存在相關漏洞和弱口令,降低風險、減少資產暴露;

3.開啟病毒實時監測功能,可有效預防和查殺該挖礦病毒;

4.設置CPU資源閾值告警策略,定期檢查CPU資源占用較高主機,可快速鎖定可疑對象。


目前為期三個月的天融信自適應安全防御系統免費試用活動,已正式開啟!歡迎點擊試用


天融信EDR系統防御配置



1.通過微隔離策略禁止訪問礦池地址;

2.通過漏洞掃描是否存在相關漏洞,降低風險;

3.開啟病毒實時監測功能,可有效預防和查殺該挖礦病毒;

4.開啟系統加固功能,監控利用PowerShell等工具執行可疑腳本,阻斷該病毒感染終端。



天融信產品獲取方式


天融信自適應安全防御系統、天融信EDR企業版試用:可通過天融信各地分公司獲取(查詢:.cn/contact/)


天融信EDR單機版下載地址:

.cn

樣本IOCs列表

惡意文件

哈希值

1.ps1

0e8d375b94cec260aba8c41ac3221d02

ap.sh

8eda2121c625e1f82ead0504

Kinsing-elf

648effa354b3cbaad87b45f48d59c616

libsystem.so

ccef46c7edf9131ccffc47bd69eb743b

Spre.sh

639d87d54aa57371cc0bf

Firewire

45a7ef83238f5244738bb5e7e3dd6299

IP

194.38.20.242

IP

194.38.20.166

IP

185.191.32.198

IP

185.154.53.140


會員登錄

×

請輸入賬號

請輸入密碼

=

請輸驗證碼

收藏該商鋪

X
該信息已收藏!
標簽:
保存成功

(空格分隔,最多3個,單個標簽最多10個字符)

常用:

提示

X
您的留言已提交成功!我們將在第一時間回復您~
產品對比 二維碼

掃一掃訪問手機商鋪

對比框

在線留言
主站蜘蛛池模板: 普洱| 友谊县| 彭山县| 海丰县| 克拉玛依市| 榆树市| 重庆市| 社旗县| 永泰县| 石家庄市| 玉林市| 南丰县| 房产| 甘孜县| 金溪县| 甘肃省| 商城县| 闸北区| 渭源县| 天门市| 子洲县| 阳谷县| 天气| 东兰县| 洛浦县| 中牟县| 斗六市| 灵宝市| 本溪| 逊克县| 蓬安县| 乾安县| 安宁市| 江源县| 宁津县| 丁青县| 宁安市| 云阳县| 安泽县| 新丰县| 吉木萨尔县|