H2マイナー
注意度★★★
影響を受けるプラットフォーム: Windows/Linux
ウイルス実行本体の説明
攻撃者は脆弱性を利用して Windows および Linux プラットフォームに侵入します。 Windows プラットフォームでは、攻撃ホストは XML ファイル wbw.xml をダウンロードして実行し、XML ファイル内の PowerShell コマンドを実行して、1.ps1 という名前のスクリプトをダウンロードします。このスクリプトは、マイニング プログラムとマイニング構成ファイルをダウンロードし、名前を変更します。実行。スケジュールされたタスクを作成し、30 分ごとに 1.ps1 スクリプトを実行して永続性を実現し、Linux プラットフォーム上で一年中攻撃ホストに留まります。攻撃ホストは wb.xml という名前の XML ファイルをダウンロードして実行します。同じ方法を使用して bash スクリプトが作成され、実行後にマイニング スクリプトがダウンロードされます。その主な機能には、競合するマイニング プログラムとスケジュールされたタスクの削除、MD5 の調整、セキュリティ ソフトウェアのアンインストール、Kinsing マルウェアのダウンロードと実行が含まれます。 Kinsing マルウェアは、マイニング機能に加えて、クラッシュしたホスト上でサイド ドアとマススキャン ポート スキャン機能を開き、C2 サーバーに接続して、バージョン番号、コア数、メモリ情報、オペレーティング システム情報、メモリの有無などの情報をアップロードします。 root権限やUuidなどを取得し、その後の垂直接続などのスクリプトをダウンロードします。
Windows プラットフォームのコミュニケーション チャネル
Windows プラットフォームでは、攻撃者は構築されたデータ パケットを被害者ホストに送信し、そのパケット内の実行可能コード部分をリモート サーバーの XML ファイルに配置します。脆弱性の悪用が成功すると、被害者ホストは攻撃者にアクセスします。リモート サーバー上に XML ファイルをセットアップし、実行のためにそれを解析します。
Linux プラットフォームのコミュニケーション チャネル
Linux プラットフォームの伝播は、Windows プラットフォームの伝播と同じであり、脆弱性の悪用が成功すると、構築されたデータ パケットを被害ホストに送信し、パケット内の実行可能コード部分をリモート サーバーの XML ファイルにインストールします。被害者ホストは、攻撃者がセットアップしたリモートサーバーの Linux 電子書籍 XML ファイルにアクセスし、解析して実行します。
攻撃スキャンダルに従ってサンプルを整理した結果、次の情報が得られました:
Windows サンプルの構造
1.ps1
Monero マイニング プログラムのアドレスと構成ファイルのダウンロード パス、保存パス、マイニング プログラム名、その他の情報を定義します。
マイニング プログラムをダウンロードし、TMP ディレクトリに保存し、名前を sysupdate.exe に変更します。
マイニング構成ファイルをダウンロードし、構成ファイルを TMP ディレクトリに保存し、名前を config.json に変更します。
プログラムを更新してスケジュールされたタスクを作成し、WindowsService の Updateservice という名前のスケジュールされたタスクを作成し、30 分ごとに無期限に繰り返します。このスケジュールされたタスクは、PowerShell を使用して 1.ps1 スクリプトを実行します。
設定ファイルconfig.json
intermed構成ファイルには5つのマイニングプールアドレスがあります。Linux サンプル分析
md.sh
2 つのスクリプト ファイルをダウンロードします。 2 つのスクリプト ファイルの機能は、感染したホスト上のセキュリティ ソフトウェアをアンインストールすることです。
競合製品のマイニング プログラムを削除します。
競合製品のスケジュールされたタスクを削除します。
キンシングマルウェア
採掘
サンプルを実行すると、tmp ディレクトリに kdevtmpfsi という名前のマイニング プログラムが作成され、実行されます。
サイドドア機能
このサイドドアコードはホスト上で任意のコマンドを実行できます。
マススキャンスキャン
firewire.sh という名前のスクリプト ファイルを作成します。このスクリプト ファイルには、masscan スキャナーとして検証される外部 MD5 ハッシュ値が含まれています。 Masscan は、nmap ツールと同様に機能する高性能ポート スキャナーです。
C2コミュニケーションズ
マルウェアはHTTP経由でC2サーバーと通信し、攻撃ホストはコア数、メモリ情報、オペレーティングシステム情報、ルート権限やUUIDを取得するかどうかなど、システムステータスとシステムリソース情報の送信を要求します。これらすべてのパラメータは、カスタム HTTP ヘッダーを使用して C2 サーバーに送信されます。
攻撃ホストは get を通じて継続的に C2 サーバーを要求し、Sign 配列はサーバーが応答した後に渡される悪意のあるシェル スクリプトです。
공격 호스트는 /mg를 사용하여 C2 서버에 요청합니다. C2 서버는 JSON-RPC를 사용하여 HTTP를 통해 호스트 정보를 보냅니다.
경쟁 제품 마이닝 프로그램을 종료하는 기능을 갖춘 cron.sh 스크립트를 다운로드하세요.
spre.sh 스크립트를 다운로드하면 스크립트가 /.ssh/config, .bash_history, /.ssh/known_hosts에서 검색 및 일치하여 공격 대상을 발견하고 해당 신원 확인 정보를 찾아 ~/를 탐지합니다. , ~/.bash_history 및 .ssh/known_hosts는 수직 연결과 같은 작업을 수행하려고 시도합니다.
관계 분석
상관 분석을 통해 조직의 자산에서 또 다른 스크립트 파일 xx.sh를 발견했습니다. xx.sh의 기능은 194.38.20.199/libsystem.so에서 libsystem.so라는 루트킷과 기타 악성 코드를 다운로드하는 것입니다. 그러면 다른 스크립트가 루트킷을 /etc/ld.so.preload에 미리 로드합니다.
스크립트는 호스트를 주기적으로 다시 감염시키는 지속성을 위해 시스템 서비스도 등록합니다.
예방, 치료 및 제거:
알 수 없는 웹사이트를 클릭하지 마세요. 바이러스 백신 소프트웨어의 바이러스 데이터베이스를 정기적으로 업데이트하세요. 바이러스 백신 소프트웨어의 수동 바이러스 데이터베이스 업데이트 기능을 켜는 것이 가장 좋습니다. 노트북 공유 기능을 끄고, 노트북에 원격으로 연결할 수 있는 기능도 꺼주세요. 최신 시스템 패치를 설치합니다.
Trojan.Linux.MINER.C
주의 수준★★★
영향을 받는 플랫폼:Linux
바이러스 실행 본문 설명
최근linux 온라인 게임에서 DDG 마이닝 트로이목마의 최신 변종 파일이 압수되었습니다. 이 변종은 주로 클라우드 호스트를 대상으로 하며, 이전 버전을 기반으로 elf 릴리스 바이러스 셸 스크립트 레이어가 내장되어 있습니다. 시스템 자원의 독점 채굴 목적을 달성하기 위한 채굴. 그 이름은 Trojan.Linux.MINER.C입니다.
바이러스 본체는 엘프 파일입니다:
readlink를 사용하여 자신의 프로세스 파일 경로를 읽으세요:
리소스에서 쉘 코드를 공개하세요. 공개된 코드는 모두 base64 암호화 쉘입니다.
.X11-unix 폴더에 01 파일을 생성합니다. 이 파일은 나중에 셸을 실행한 후 바이러스 프로세스 pid를 저장하는 데 사용됩니다.
최종적으로 비밀을 실행하는 셸:
첫 번째 쉘 공개:
이 스크립트는 채굴 프로그램의 데몬 프로세스로, 채굴 프로그램이 실행 중인지 여부를 모니터링하는 데 주로 사용됩니다. 실행이 중지되면 채굴 프로그램이 다운로드됩니다.
이 스크립트는 don을 사용하여 도메인 이름을 확인하고 Tor 프록시를 통해 다운로드하고 채굴합니다. 다른 변종과 마찬가지로 주요 기능은 주요 보안 공급업체의 IDS 방어를 우회하는 것입니다.
마이닝 프로그램이 실행 중인지 확인하는 방법은 오른쪽 그림과 같습니다. 이 pid가 없으면 .x11-unix/01에 기록된 마이닝 프로세스를 가져와서 마이닝이 진행 중인지 확인할 수 있습니다. 채굴이 다시 시작됩니다:
이 스크립트 20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S의 첫 번째 줄은 로컬에 저장된 셸 파일 및 관련 예약 작업의 파일 이름입니다.
열고 나서 다음 스크립트를 발견했습니다:
두 번째 쉘 스크립트는 기본적으로 첫 번째 쉘 스크립트와 동일합니다.
세 번째 쉘 스크립트는 주로 경쟁 제품 마이닝 바이러스를 삭제하는 데 사용됩니다.
경쟁하는 마이닝 바이러스의 예정된 작업과 파일을 삭제하여 시스템 리소스를 독점하세요. 우리는 그 안에서 unix.db 변종을 발견했고, AsiaInfo는 2020년 중반에 이 변종을 포착했습니다
다음 지원 활동과 관련된 프로세스를 종료합니다.
경쟁 마이닝 제품의 쉘 파일을 삭제하고 시스템에서 CPU 사용량이 많은 프로세스를 종료합니다.
다음 문자열로 프로세스를 종료합니다. 그 중 kthreadi와 같은 프로세스도 Linux에서 흔히 발생하는 마이닝 바이러스입니다.
네 번째 셸은 전파 모듈이자 일부 클라우드 호스트 서비스의 끝입니다.
클라우드 호스트 관련 서비스 및 파일을 종료합니다.
knifessh는 모든 노드linux 온라인 게임에서 SSH 명령을 호출합니다. 명령이 공개된 후 첫 번째 셸
입니다.使用saltstack的cmd.run模块对下属机器统一执行挖矿。
借助pssh传播
获取通信过的hosts,并尝试联接。
在联接远程主机时不会显示交互式口令输入,会主动把对方的私钥加到known-hosts中,而不会提示用户是否要记录这样的信息,且当远程主机的私钥变化了,依然会联接上linux串口驱动,不会出现由于私钥不对联接失败。
ansibleall-mshell-a登陆其他主机传播:
防治和消除:
不要点击不明网站;打开不明电邮附件;定时时常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能,关掉容许远程联接笔记本的功能。安装最新的系统补丁。
垂钓网站提示:
1、假冒亚马逊类垂钓网:
害处:套取用户邮箱帐号及密码信息。
2、假冒PDF类垂钓网:
害处:套取用户帐号及密码信息。
3、假冒Paypal类垂钓网:
害处:套取用户帐号及密码信息。
4、假冒腾讯游戏类垂钓网站:
害处:套取用户信用卡号及密码信息。
5、假冒Gmail类垂钓网站
害处:套取用户邮箱帐号及密码信息。
切勿打开类似上述网站,保持计算机的网路防火墙打开。
以上信息由天津市网路与信息安全应急管理事务中心提供
위 내용은 H2Miner 바이러스는 Windows/Linux 플랫폼을 침범합니다. 채굴 프로그램의 장기적인 지속성을 주의하세요.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!