H2Miner挖礦組織自2019年出現(xiàn)，持續(xù)活躍，同時(shí)向Linux與Windows雙平臺(tái)傳播惡意腳本，最終下載門(mén)羅幣挖礦程序以及其他后門(mén)、端口掃描工具等。H2Miner主要使用RCE漏洞進(jìn)行傳播，研究人員本次捕獲到的樣本利用了CVE-2020-14883(WebLogic RCE漏洞)進(jìn)行傳播。

詳情

H2Miner挖礦組織在Linux平臺(tái)上傳播Kinsing僵尸網(wǎng)絡(luò)，起名原因是其守護(hù)進(jìn)程名為“kinsing”。該惡意軟件具有挖礦功能，同時(shí)在失陷主機(jī)上開(kāi)放后門(mén)，具有masscan端口掃描的功能，連接C2服務(wù)器上傳基礎(chǔ)信息，還具有下載腳本進(jìn)行橫向移動(dòng)等功能。

攻擊者使用的技術(shù)點(diǎn)如下：

攻擊者利用漏洞入侵Windows平臺(tái)和Linux平臺(tái)。在Windows平臺(tái)中，失陷主機(jī)下載并執(zhí)行wbw.xml的XML文件，在XML文件中執(zhí)行一段PowerShell命令，下載名為1.ps1的腳本，該腳本下載挖礦程序以及挖礦的配置文件并重命名執(zhí)行，創(chuàng)建計(jì)劃任務(wù)每30分鐘執(zhí)行一次1.ps1腳本，實(shí)現(xiàn)持久化長(zhǎng)期駐留失陷主機(jī)。

在Linux平臺(tái)中，失陷主機(jī)下載并執(zhí)行名為wb.xml的XML文件，該XML文件使用同樣的手法內(nèi)嵌了一段bash腳本，執(zhí)行后下載挖礦腳本，主要功能包括清除競(jìng)品挖礦程序和計(jì)劃任務(wù)、MD5校驗(yàn)、卸載安全軟件和下載Kinsing惡意軟件并執(zhí)行等。

Kinsing惡意軟件不僅具有挖礦功能，還會(huì)在失陷主機(jī)上開(kāi)放后門(mén)以及masscan端口掃描等功能，連接C2服務(wù)器上傳版本號(hào)、內(nèi)核數(shù)量、內(nèi)存信息、操作系統(tǒng)信息、是否獲得Root 權(quán)限和Uuid等信息，并會(huì)下載后續(xù)腳本進(jìn)行橫向移動(dòng)等。整體攻擊流程如下：

據(jù)悉，H2Miner組織最早在2019年底使用Kinsing僵尸網(wǎng)絡(luò)發(fā)起攻擊，主要針對(duì)Linux服務(wù)器。2020年末新版本更新中增加了對(duì)Windows平臺(tái)的攻擊，可以通過(guò)雙平臺(tái)傳播。