H2Miner 바이러스는 Windows/Linux 플랫폼을 침범합니다. 채굴 프로그램의 장기적인 지속성을 주의하세요.
H2マイナー
注意度★★★
影響を受けるプラットフォーム: Windows/Linux
ウイルス実行本体の説明
攻撃者は脆弱性を利用して Windows および Linux プラットフォームに侵入します。 Windows プラットフォームでは、攻撃ホストは XML ファイル wbw.xml をダウンロードして実行し、XML ファイル内の PowerShell コマンドを実行して、1.ps1 という名前のスクリプトをダウンロードします。このスクリプトは、マイニング プログラムとマイニング構成ファイルをダウンロードし、名前を変更します。実行。スケジュールされたタスクを作成し、30 分ごとに 1.ps1 スクリプトを実行して永続性を実現し、Linux プラットフォーム上で一年中攻撃ホストに留まります。攻撃ホストは wb.xml という名前の XML ファイルをダウンロードして実行します。同じ方法を使用して bash スクリプトが作成され、実行後にマイニング スクリプトがダウンロードされます。その主な機能には、競合するマイニング プログラムとスケジュールされたタスクの削除、MD5 の調整、セキュリティ ソフトウェアのアンインストール、Kinsing マルウェアのダウンロードと実行が含まれます。 Kinsing マルウェアは、マイニング機能に加えて、クラッシュしたホスト上でサイド ドアとマススキャン ポート スキャン機能を開き、C2 サーバーに接続して、バージョン番号、コア数、メモリ情報、オペレーティング システム情報、メモリの有無などの情報をアップロードします。 root権限やUuidなどを取得し、その後の垂直接続などのスクリプトをダウンロードします。
Windows プラットフォームのコミュニケーション チャネル
Windows プラットフォームでは、攻撃者は構築されたデータ パケットを被害者ホストに送信し、そのパケット内の実行可能コード部分をリモート サーバーの XML ファイルに配置します。脆弱性の悪用が成功すると、被害者ホストは攻撃者にアクセスします。リモート サーバー上に XML ファイルをセットアップし、実行のためにそれを解析します。
Linux プラットフォームのコミュニケーション チャネル
Linux プラットフォームの伝播は、Windows プラットフォームの伝播と同じであり、脆弱性の悪用が成功すると、構築されたデータ パケットを被害ホストに送信し、パケット内の実行可能コード部分をリモート サーバーの XML ファイルにインストールします。被害者ホストは、攻撃者がセットアップしたリモートサーバーの Linux 電子書籍 XML ファイルにアクセスし、解析して実行します。
攻撃スキャンダルに従ってサンプルを整理した結果、次の情報が得られました:
Windows サンプルの構造
1.ps1
Monero マイニング プログラムのアドレスと構成ファイルのダウンロード パス、保存パス、マイニング プログラム名、その他の情報を定義します。
マイニング プログラムをダウンロードし、TMP ディレクトリに保存し、名前を sysupdate.exe に変更します。
プログラムを更新してスケジュールされたタスクを作成し、WindowsService の Updateservice という名前のスケジュールされたタスクを作成し、30 分ごとに無期限に繰り返します。このスケジュールされたタスクは、PowerShell を使用して 1.ps1 スクリプトを実行します。
設定ファイルconfig.json
intermed構成ファイルには5つのマイニングプールアドレスがあります。Linux サンプル分析
md.sh
2 つのスクリプト ファイルをダウンロードします。 2 つのスクリプト ファイルの機能は、感染したホスト上のセキュリティ ソフトウェアをアンインストールすることです。
競合製品のマイニング プログラムを削除します。
競合製品のスケジュールされたタスクを削除します。
キンシングマルウェア
採掘
サンプルを実行すると、tmp ディレクトリに kdevtmpfsi という名前のマイニング プログラムが作成され、実行されます。
サイドドア機能
このサイドドアコードはホスト上で任意のコマンドを実行できます。
マススキャンスキャン
firewire.sh という名前のスクリプト ファイルを作成します。このスクリプト ファイルには、masscan スキャナーとして検証される外部 MD5 ハッシュ値が含まれています。 Masscan は、nmap ツールと同様に機能する高性能ポート スキャナーです。
C2コミュニケーションズ
マルウェアはHTTP経由でC2サーバーと通信し、攻撃ホストはコア数、メモリ情報、オペレーティングシステム情報、ルート権限やUUIDを取得するかどうかなど、システムステータスとシステムリソース情報の送信を要求します。これらすべてのパラメータは、カスタム HTTP ヘッダーを使用して C2 サーバーに送信されます。
攻撃ホストは get を通じて継続的に C2 サーバーを要求し、Sign 配列はサーバーが応答した後に渡される悪意のあるシェル スクリプトです。
공격 호스트는 /mg를 사용하여 C2 서버에 요청합니다. C2 서버는 JSON-RPC를 사용하여 HTTP를 통해 호스트 정보를 보냅니다.
경쟁 제품 마이닝 프로그램을 종료하는 기능을 갖춘 cron.sh 스크립트를 다운로드하세요.
spre.sh 스크립트를 다운로드하면 스크립트가 /.ssh/config, .bash_history, /.ssh/known_hosts에서 검색 및 일치하여 공격 대상을 발견하고 해당 신원 확인 정보를 찾아 ~/를 탐지합니다. , ~/.bash_history 및 .ssh/known_hosts는 수직 연결과 같은 작업을 수행하려고 시도합니다.
관계 분석
상관 분석을 통해 조직의 자산에서 또 다른 스크립트 파일 xx.sh를 발견했습니다. xx.sh의 기능은 194.38.20.199/libsystem.so에서 libsystem.so라는 루트킷과 기타 악성 코드를 다운로드하는 것입니다. 그러면 다른 스크립트가 루트킷을 /etc/ld.so.preload에 미리 로드합니다.
스크립트는 호스트를 주기적으로 다시 감염시키는 지속성을 위해 시스템 서비스도 등록합니다.
예방, 치료 및 제거:
알 수 없는 웹사이트를 클릭하지 마세요. 바이러스 백신 소프트웨어의 바이러스 데이터베이스를 정기적으로 업데이트하세요. 바이러스 백신 소프트웨어의 수동 바이러스 데이터베이스 업데이트 기능을 켜는 것이 가장 좋습니다. 노트북 공유 기능을 끄고, 노트북에 원격으로 연결할 수 있는 기능도 꺼주세요. 최신 시스템 패치를 설치합니다.
Trojan.Linux.MINER.C
주의 수준★★★
영향을 받는 플랫폼:Linux
바이러스 실행 본문 설명
최근linux 온라인 게임에서 DDG 마이닝 트로이목마의 최신 변종 파일이 압수되었습니다. 이 변종은 주로 클라우드 호스트를 대상으로 하며, 이전 버전을 기반으로 elf 릴리스 바이러스 셸 스크립트 레이어가 내장되어 있습니다. 시스템 자원의 독점 채굴 목적을 달성하기 위한 채굴. 그 이름은 Trojan.Linux.MINER.C입니다.
바이러스 본체는 엘프 파일입니다:
readlink를 사용하여 자신의 프로세스 파일 경로를 읽으세요:
리소스에서 쉘 코드를 공개하세요. 공개된 코드는 모두 base64 암호화 쉘입니다.
.X11-unix 폴더에 01 파일을 생성합니다. 이 파일은 나중에 셸을 실행한 후 바이러스 프로세스 pid를 저장하는 데 사용됩니다.
최종적으로 비밀을 실행하는 셸:
첫 번째 쉘 공개:
이 스크립트는 채굴 프로그램의 데몬 프로세스로, 채굴 프로그램이 실행 중인지 여부를 모니터링하는 데 주로 사용됩니다. 실행이 중지되면 채굴 프로그램이 다운로드됩니다.
이 스크립트는 don을 사용하여 도메인 이름을 확인하고 Tor 프록시를 통해 다운로드하고 채굴합니다. 다른 변종과 마찬가지로 주요 기능은 주요 보안 공급업체의 IDS 방어를 우회하는 것입니다.
마이닝 프로그램이 실행 중인지 확인하는 방법은 오른쪽 그림과 같습니다. 이 pid가 없으면 .x11-unix/01에 기록된 마이닝 프로세스를 가져와서 마이닝이 진행 중인지 확인할 수 있습니다. 채굴이 다시 시작됩니다:
이 스크립트 20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S의 첫 번째 줄은 로컬에 저장된 셸 파일 및 관련 예약 작업의 파일 이름입니다.
열고 나서 다음 스크립트를 발견했습니다:
두 번째 쉘 스크립트는 기본적으로 첫 번째 쉘 스크립트와 동일합니다.
세 번째 쉘 스크립트는 주로 경쟁 제품 마이닝 바이러스를 삭제하는 데 사용됩니다.
경쟁하는 마이닝 바이러스의 예정된 작업과 파일을 삭제하여 시스템 리소스를 독점하세요. 우리는 그 안에서 unix.db 변종을 발견했고, AsiaInfo는 2020년 중반에 이 변종을 포착했습니다
다음 지원 활동과 관련된 프로세스를 종료합니다.
경쟁 마이닝 제품의 쉘 파일을 삭제하고 시스템에서 CPU 사용량이 많은 프로세스를 종료합니다.
다음 문자열로 프로세스를 종료합니다. 그 중 kthreadi와 같은 프로세스도 Linux에서 흔히 발생하는 마이닝 바이러스입니다.
네 번째 셸은 전파 모듈이자 일부 클라우드 호스트 서비스의 끝입니다.
클라우드 호스트 관련 서비스 및 파일을 종료합니다.
knifessh는 모든 노드linux 온라인 게임에서 SSH 명령을 호출합니다. 명령이 공개된 후 첫 번째 셸
입니다.使用saltstack的cmd.run模块对下属机器统一执行挖矿。
借助pssh传播
获取通信过的hosts,并尝试联接。
在联接远程主机时不会显示交互式口令输入,会主动把对方的私钥加到known-hosts中,而不会提示用户是否要记录这样的信息,且当远程主机的私钥变化了,依然会联接上linux串口驱动,不会出现由于私钥不对联接失败。
ansibleall-mshell-a登陆其他主机传播:
防治和消除:
不要点击不明网站;打开不明电邮附件;定时时常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能,关掉容许远程联接笔记本的功能。安装最新的系统补丁。
垂钓网站提示:
1、假冒亚马逊类垂钓网:
害处:套取用户邮箱帐号及密码信息。
2、假冒PDF类垂钓网:
害处:套取用户帐号及密码信息。
3、假冒Paypal类垂钓网:
害处:套取用户帐号及密码信息。
4、假冒腾讯游戏类垂钓网站:
害处:套取用户信用卡号及密码信息。
5、假冒Gmail类垂钓网站
害处:套取用户邮箱帐号及密码信息。
切勿打开类似上述网站,保持计算机的网路防火墙打开。
以上信息由天津市网路与信息安全应急管理事务中心提供
위 내용은 H2Miner 바이러스는 Windows/Linux 플랫폼을 침범합니다. 채굴 프로그램의 장기적인 지속성을 주의하세요.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

인기 기사

뜨거운 도구

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경

드림위버 CS6
시각적 웹 개발 도구

SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제











Linux는 서버 관리, 임베디드 시스템 및 데스크탑 환경으로 사용되는 것이 가장 좋습니다. 1) 서버 관리에서 Linux는 웹 사이트, 데이터베이스 및 응용 프로그램을 호스팅하는 데 사용되어 안정성과 안정성을 제공합니다. 2) 임베디드 시스템에서 Linux는 유연성과 안정성으로 인해 스마트 홈 및 자동차 전자 시스템에서 널리 사용됩니다. 3) 데스크탑 환경에서 Linux는 풍부한 응용 프로그램과 효율적인 성능을 제공합니다.

Linux의 5 가지 기본 구성 요소는 다음과 같습니다. 1. 커널, 하드웨어 리소스 관리; 2. 기능과 서비스를 제공하는 시스템 라이브러리; 3. 쉘, 사용자가 시스템과 상호 작용할 수있는 인터페이스; 4. 파일 시스템, 데이터 저장 및 구성; 5. 시스템 리소스를 사용하여 기능을 구현합니다.

Linux 시스템 관리는 구성, 모니터링 및 유지 보수를 통해 시스템 안정성, 효율성 및 보안을 보장합니다. 1. TOP 및 SystemCTL과 같은 마스터 쉘 명령. 2. APT 또는 YUM을 사용하여 소프트웨어 패키지를 관리하십시오. 3. 효율성을 향상시키기 위해 자동 스크립트를 작성하십시오. 4. 권한 문제와 같은 일반적인 디버깅 오류. 5. 모니터링 도구를 통해 성능을 최적화하십시오.

기본 Linux 학습 방법은 다음과 같습니다. 1. 파일 시스템 및 명령 줄 인터페이스 이해, 2. LS, CD, MKDIR, 3. 파일 생성 및 편집과 같은 파일 작업 배우기, 4. 파이프 라인 및 GREP 명령과 같은 고급 사용법, 5. 연습 및 탐색을 통해 지속적으로 기술을 향상시킵니다.

Linux는 서버, 임베디드 시스템 및 데스크탑 환경에서 널리 사용됩니다. 1) 서버 필드에서 Linux는 안정성 및 보안으로 인해 웹 사이트, 데이터베이스 및 응용 프로그램을 호스팅하기에 이상적인 선택이되었습니다. 2) 임베디드 시스템에서 Linux는 높은 사용자 정의 및 효율성으로 인기가 있습니다. 3) 데스크탑 환경에서 Linux는 다양한 사용자의 요구를 충족시키기 위해 다양한 데스크탑 환경을 제공합니다.

Linux 장치는 서버, 개인용 컴퓨터, 스마트 폰 및 임베디드 시스템을 포함한 Linux 운영 체제를 실행하는 하드웨어 장치입니다. 그들은 Linux의 힘을 활용하여 웹 사이트 호스팅 및 빅 데이터 분석과 같은 다양한 작업을 수행합니다.

Linux의 단점에는 사용자 경험, 소프트웨어 호환성, 하드웨어 지원 및 학습 곡선이 포함됩니다. 1. 사용자 경험은 Windows 또는 MacOS만큼 친절하지 않으며 명령 줄 인터페이스에 의존합니다. 2. 소프트웨어 호환성은 다른 시스템만큼 좋지 않으며 많은 상용 소프트웨어의 기본 버전이 부족합니다. 3. 하드웨어 지원은 Windows만큼 포괄적이지 않으며 드라이버를 수동으로 컴파일 할 수 있습니다. 4. 학습 곡선은 가파르고 명령 줄 운영을 마스터하는 데 시간과 인내가 필요합니다.

인터넷은 단일 운영 체제에 의존하지 않지만 Linux는 이에 중요한 역할을합니다. Linux는 서버 및 네트워크 장치에서 널리 사용되며 안정성, 보안 및 확장 성으로 인기가 있습니다.
