H2Miner 黑產團伙通過控制服務器進行門羅幣挖礦已非法獲利超 370 萬元,企業需採取措施檢查並清除服務器是否被入侵安裝 H2Miner 挖礦木馬。

原文標題:《H2Miner 黑產團伙利用 SaltStack 漏洞控制服務器挖礦,已獲利 370 萬元》
撰文:騰訊御見威脅情報中心

騰訊安全威脅情報中心於 2020 年 05 月 03 日檢測到 H2Miner 木馬利用 SaltStack 遠程命令執行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企業主機進行挖礦。通過對木馬的核心腳本以及可執行文件的對比分析,我們確認了此次攻擊行動屬於挖礦木馬家族 H2Miner

H2Miner 是一個 linux 下的挖礦僵屍網絡,通過 hadoop yarn 未授權、docker 未授權、confluence RCE、thinkphp 5 RCE、Redis 未授權等多種手段進行入侵,下載惡意腳本及惡意程序進行挖礦牟利,橫向掃描擴大攻擊面並維持 C&C 通信。

騰訊安全威脅情報中心大數據統計結果顯示,H2Miner 利用 SaltStack 漏洞的攻擊自 5 月 3 日開始,目前呈快速增長趨勢。H2Miner 挖礦木馬運行時會嘗試卸載服務器的安全軟件,清除服務器安裝的其他挖礦木馬,以獨佔服務器資源。目前,H2Miner 黑產團伙通過控制服務器進行門羅幣挖礦已非法獲利超 370 萬元。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

樣本分析

Saltstack 是基於 python 開發的一套 C/S 自動化運維工具。近日,SaltStack 被爆存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652),其中:

CVE-2020-11651:爲認證繞過漏洞,攻擊者可構造惡意請求,繞過 Salt Master 的驗證邏輯,調用相關未授權函數功能,達到遠程命令執行目的。

CVE-2020-11652:爲目錄遍歷漏洞,攻擊者可構造惡意請求,讀取服務器上任意文件,獲取系統敏感信息信息。

漏洞影響版本

SaltStack < 2019.2.4
SaltStack < 3000.2

安全研究人員在得到企業授權後,對中招機器進行排查,在 /var/log/salt/minion 日誌中發現攻擊時的惡意文件下載行爲:

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

該下載行爲正是利用 SaltStack 漏洞攻擊成功後執行的遠程命令,命令通過 curl 或 wget 下載和執行腳本 sa.sh (http[:]//217.12.210.192/sa.sh),腳本 sa.sh 具有以下功能:

1、卸載防禦軟件阿里雲騎士、騰訊雲鏡。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

2、通過端口、文件名、進程名、錢包地址匹配匹配找到競品挖礦木馬,刪除對應的進程和文件,殺死正在運行的競爭對手的 Docker 容器並刪除其鏡像。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

3、檢查文件 /tmp/salt-store 是否存在,md5 是否爲
「8ec3385e20d6d9a88bc95831783beaeb」。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

4、salt-store 不存在或 md5 不正確則下載該文件至 tmp 目錄下。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

下載得到的 salt-store 採用 Golang 編寫,被編譯爲 Linux 平臺可執行程序,主要有以下功能:

  • 下載文件並執行
  • 啓動和維持挖礦程序
  • 與 C&C; 服務器通信,接收並執行遠程命令
  • 利用 masscan 對外掃描
  • 針對 redis 服務進行爆破攻擊

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

salt-store 從 http[:]//206.189.92.32/tmp/v 下載 XMRig 挖礦木馬,保存爲 /tmp/salt-minions,然後啓動連接礦池 xmr-eu1.nanopool.org 挖礦,配置中使用門羅幣錢包爲:
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

目前該錢包已挖礦獲得 8236 個門羅幣,獲利摺合人民幣超過 370 萬元。該黑產團伙的戰果顯示:入侵控制 Linux 服務器挖礦已是黑產生財之道,採用 Linux 服務器的企業萬不可掉以輕心。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

關聯家族分析

此次攻擊中 sa.sh (e600632da9a710bba3c53c1dfdd7bac1)與 h2miner 使用的
ex.sh (a626c7274f51c55fdff1f398bb10bad5)腳本內容呈現高度相似:

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

上述標記中 sa.sh 對比 ex.sh 唯一缺少的代碼是通過 crontab 定時任務設置持久化。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

而 sa.sh 和 ex.sh 主要的任務爲下載木馬 salt-store (8ec3385e20d6d9a88bc95831783beaeb)和 kinsing (a71ad3167f9402d8c5388910862b16ae),這兩個木馬都時採樣 Golang 語言編寫,並編譯爲 Linux 平臺可執行程序,兩個樣本代碼結構高度相似、並且完成的功能幾乎相同,因此我們認爲兩者屬於同一家族。

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

安全建議

騰訊安全專家建議企業採取以下措施強化服務器安全,檢查並清除服務器是否被入侵安裝 H2Miner 挖礦木馬。

  1. 將 Salt Master 默認監聽端口(默認 4505 和 4506)設置爲禁止對公網開放,或僅對可信對象開放。將 SaltStack 升級至安全版本以上,升級前建議做好快照備份,設置 SaltStack 爲自動更新,及時獲取相應補丁。
    2.Redis 非必要情況不要暴露在公網,使用足夠強壯的 Redis 口令。
  2. 參考以下步驟手動檢查並清除 H2Miner 挖礦木馬:
    1. kill 掉進程中包含 salt-minions 和 salt-store 文件的進程,文件 hash 爲 a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb;
    2. 刪除文件 /tmp/salt-minions、/tmp/salt-store;
    3. 將惡意腳本服務器地址 217.12.210.192、206.189.92.32 進行封禁;
    4. 升級 SaltStack 到 2019.2.4 或 3000.2,防止病毒再次入侵。

騰訊安全專家建議企業採用騰訊安全系列產品方案,騰訊安全團隊針對 SaltStack 遠程命令執行漏洞執行以下響應清單,已全面封堵相關黑產利用:

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

技術分析獲利百萬元的 H2Miner 木馬如何控制服務器進行門羅幣挖礦

IOCs
MD5

e600632da9a710bba3c53c1dfdd7bac1
a28ded80d7ab5c69d6ccde4602eef861
8ec3385e20d6d9a88bc95831783beaeb
a626c7274f51c55fdff1f398bb10bad5
a71ad3167f9402d8c5388910862b16ae

IP

217.12.210.192
206.189.92.32
144.217.117.146

URL

hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store
hxxp[:]//217.12.210.192/salt-store
hxxp[:]//217.12.210.192/sa.sh
hxxp[:]//206.189.92.32/tmp/v
hxxp[:]//206.189.92.32/tmp/salt-store
hxxp[:]//144.217.117.146/ex.sh
hxxp[:]//144.217.117.146/kinsing2

參考鏈接

通告:針對 SaltStack 遠程命令執行漏洞(CVE-2020-11651、CVE-2020-11652)植入挖礦木馬的應急響應

https://developer.aliyun.com/article/741844

來源鏈接:mp.weixin.qq.com