证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

hezb挖矿木马来袭!天融信多款产品精准防御~-wepoker官网

天融信ips、ids、僵木蠕、edr及过滤网关等产品可精准检测并防御阻断,为防止危害进一步扩散,请立即升级!
发布时间:2022-07-11
浏览次数:3277
分享:

hezb介绍

近日,天融信天璇实验室捕捉到hezb挖矿木马。hezb挖矿木马首次出现于2022年5月,可通过 wso2 rce (cve-2022-29464)和 confluence ognl(cve-2022-26134)漏洞进行传播,向windows、linux平台植入挖矿木马程序,利用目标系统资源进行挖矿活动,挖矿币种主要是门罗币(xmr)。上述两种漏洞均属于第三方软件漏洞,所以针对服务器的传播几率较大,严重危害服务器资源,影响业务运行。

挖矿木马可通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用其计算机的运算力进行挖矿,从而获取非法收益。目前天融信天璇实验室已分析提取出hezb木马的挖矿行为特征,天融信入侵检测系统(topsentry)新版本、天融信僵尸网络木马和蠕虫监测与处置系统(toptvd)以及天融信edr、过滤网关等产品‍可对该木马的挖矿活动精准检测,天融信入侵防御系统(topidp)新版本可对该木马的挖矿活动进行防御阻断,有效防止危害进一步扩散。

样本信息

矿池及钱包地址:

根据矿池地址记录,目前,该钱包现在平均算力约150kh/s。

样本分析

本次捕获到的hezb挖矿木马样本shell、powershell和bat脚本长达一千余行,支持windows和linux系统,提供的功能非常完善,例如:从ssh密钥、历史记录和配置文件等位置获取凭证、删除注册表自启动项内容、利用cve-2021-4043漏洞提权、扫描confluence漏洞、删除挖矿竞争对手的进程等。

windows平台

kill.bat:

结束当前系统的其他挖矿进程,结束%temp%和%appdata%目录下名为network02.exe的程序,删除注册表自启动下的“run2”和“run”。

检测当前系统下是否存在挖矿程序。

从服务器202.28.229.174/win/目录下获取mad.bat脚本进行执行。

mad.bat:

为moneroocean mining初始默认脚本,其中包含攻击者的钱包地址和其他载荷的下载目录。

获取cpu频率、核心数、缓存大小等信息,并通过公式计得到exp_monero_hashrate(每秒可执行哈希量)。

利用exp_monero_hashrate进一步计算得到port,port将会作为后续挖矿时的端口号。

在用户目录下生成挖矿日志信息。

在http://202.28.229.174/win/目录下下载7za.exe和dom.zip。

使用7za.exe解压缩dom.zip。

如果dom.zip压缩文件中存在dom.exe,修改挖矿配置文件中的矿池、钱包、用户名、密码等信息。

如果不存在dom.exe,则从http://202.28.229.174/win/ 目录下下载7za.exe和dom-6.zip,使用7za.exe解压缩dom-6.zip。

创建miner.bat,在脚本中写入运行dom.exe命令,放到系统启动目录下实现持久化。

使用dsm.exe创建服务启动dom.exe,设置线程优先级。

dom.zip和dom-6.zip压缩包中的dom.exe都是采用开源挖矿程序xmrig编译而成,其使用的矿机版本都为:xmrig 6.16.2。

xmrig编译后如下图所示。

linux平台

ap.sh:

配置样本下载网站以及curl工具下载地址,配置curl工具参数等。

结束市面上常见的挖矿程序。

卸载国内阿里云服务器上的默认安全软件。

配置矿池地址,执行ap.txt脚本以及挖矿程序并重新命名为hezb。

搜索并匹配ssh密钥、历史记录和配置文件路径为:

/.ssh/config,.bash_history,/.ssh/known_hosts

找到与其相对应的身份验证的信息,检查:

~/.ssh/config、~/.bash_history和.ssh/known_hosts搜集信息,通过ssh进行尝试连接。

从http://202.28.229.174下载二进制文件kik并执行。

ap.txt:

查看当前进程是否存在hezb,如果没有,重新下载ap.sh脚本并执行。

ldr.sh:

ldr.sh与ap.sh脚本大体代码相同,只有矿池地址和钱包地址有所不同,下载的文件名称为kthmimu.txt,与ap.txt内容相同。推测该脚本为ap.sh的升级版本或测试版本。

ko:

该二进制文件经过搜索字符串特征判断为cve-2021-4034漏洞利用程序, 成功利用漏洞后会使本地权限提升。

kik:

kik 是一个静态链接的64位golang elf二进制文件。此二进制文件尝试匹配特定值,同时排除其他值并将结果值通过管道传递给“kill -9”。这是在一个循环中执行,将“命令执行成功”打印到标准输出。

下载的主体挖矿程序为sys._x86_64重命名为hezb,是用开源挖矿程序xmrig6.16.4版本改编编译而成,自己命名为6.16.5版本。

防护建议

1、及时更新wso2和confluence补丁可避免感染该挖矿木马。

2、已购买天融信僵尸网络木马和蠕虫监测与处置系统(toptvd)、天融信入侵检测系统(topsentry)新版本、天融信入侵防御系统(topidp)新版本的客户,可以升级僵尸主机规则库进行有效监测防护。

僵尸主机规则库版本号:

ngtvd-v2022.07.11.001

下载地址:

ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(ngidp)/僵尸主机规则库/ngtvd-v2022.07.11.001.tor

产品咨询

您可以登陆天融信wepoker官网入口官网查询了解天融信入侵防御系统、天融信入侵检测系统、天融信僵尸网络木马和蠕虫监测与处置系统,也可拨打客服热线400-777-0777进行产品咨询。

关键词标签:
天融信 hezb挖矿木马 精准防御 入侵防御系统
在线咨询





在线留言





客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注
网站地图