Hezb介紹

近日，天融信天璇實(shí)驗(yàn)室捕捉到Hezb挖礦木馬。Hezb挖礦木馬首次出現(xiàn)于2022年5月，可通過 WSO2 RCE (CVE-2022-29464)和 Confluence OGNL（CVE-2022-26134）漏洞進(jìn)行傳播，向Windows、Linux平臺(tái)植入挖礦木馬程序，利用目標(biāo)系統(tǒng)資源進(jìn)行挖礦活動(dòng)，挖礦幣種主要是門羅幣（XMR）。上述兩種漏洞均屬于第三方軟件漏洞，所以針對(duì)服務(wù)器的傳播幾率較大，嚴(yán)重危害服務(wù)器資源，影響業(yè)務(wù)運(yùn)行。

挖礦木馬可通過各種手段將挖礦程序植入受害者的計(jì)算機(jī)中，在用戶不知情的情況下，利用其計(jì)算機(jī)的運(yùn)算力進(jìn)行挖礦，從而獲取非法收益。目前天融信天璇實(shí)驗(yàn)室已分析提取出Hezb木馬的挖礦行為特征，天融信入侵檢測系統(tǒng)（TopSentry）新版本、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)（TopTVD）以及天融信EDR、過濾網(wǎng)關(guān)等產(chǎn)品?可對(duì)該木馬的挖礦活動(dòng)精準(zhǔn)檢測，天融信入侵防御系統(tǒng)（TopIDP）新版本可對(duì)該木馬的挖礦活動(dòng)進(jìn)行防御阻斷，有效防止危害進(jìn)一步擴(kuò)散。

樣本信息

礦池及錢包地址：

根據(jù)礦池地址記錄，目前，該錢包現(xiàn)在平均算力約150KH/s。

樣本分析

本次捕獲到的Hezb挖礦木馬樣本shell、PowerShell和bat腳本長達(dá)一千余行，支持Windows和Linux系統(tǒng)，提供的功能非常完善，例如：從SSH密鑰、歷史記錄和配置文件等位置獲取憑證、刪除注冊(cè)表自啟動(dòng)項(xiàng)內(nèi)容、利用CVE-2021-4043漏洞提權(quán)、掃描Confluence漏洞、刪除挖礦競爭對(duì)手的進(jìn)程等。

Windows平臺(tái)

kill.bat：

結(jié)束當(dāng)前系統(tǒng)的其他挖礦進(jìn)程，結(jié)束%TEMP%和%APPDATA%目錄下名為network02.exe的程序，刪除注冊(cè)表自啟動(dòng)下的“Run2”和“Run”。

檢測當(dāng)前系統(tǒng)下是否存在挖礦程序。

從服務(wù)器202.28.229.174/win/目錄下獲取mad.bat腳本進(jìn)行執(zhí)行。

mad.bat：

為MoneroOcean mining初始默認(rèn)腳本，其中包含攻擊者的錢包地址和其他載荷的下載目錄。

獲取CPU頻率、核心數(shù)、緩存大小等信息，并通過公式計(jì)得到EXP_MONERO_HASHRATE（每秒可執(zhí)行哈希量）。

利用EXP_MONERO_HASHRATE進(jìn)一步計(jì)算得到PORT，PORT將會(huì)作為后續(xù)挖礦時(shí)的端口號(hào)。

在用戶目錄下生成挖礦日志信息。

在http://202.28.229.174/win/目錄下下載7za.exe和dom.zip。

使用7za.exe解壓縮dom.zip。

如果dom.zip壓縮文件中存在dom.exe，修改挖礦配置文件中的礦池、錢包、用戶名、密碼等信息。

如果不存在dom.exe，則從http://202.28.229.174/win/ 目錄下下載7za.exe和dom-6.zip,使用7za.exe解壓縮dom-6.zip。

創(chuàng)建miner.bat，在腳本中寫入運(yùn)行dom.exe命令，放到系統(tǒng)啟動(dòng)目錄下實(shí)現(xiàn)持久化。

使用dsm.exe創(chuàng)建服務(wù)啟動(dòng)dom.exe，設(shè)置線程優(yōu)先級(jí)。

dom.zip和dom-6.zip壓縮包中的dom.exe都是采用開源挖礦程序XMRig編譯而成，其使用的礦機(jī)版本都為：XMRig 6.16.2。

XMRig編譯后如下圖所示。

Linux平臺(tái)

ap.sh：

配置樣本下載網(wǎng)站以及curl工具下載地址，配置curl工具參數(shù)等。

結(jié)束市面上常見的挖礦程序。

卸載國內(nèi)阿里云服務(wù)器上的默認(rèn)安全軟件。

配置礦池地址，執(zhí)行ap.txt腳本以及挖礦程序并重新命名為hezb。

搜索并匹配SSH密鑰、歷史記錄和配置文件路徑為：

/.ssh/config，.bash_history，/.ssh/known_hosts

找到與其相對(duì)應(yīng)的身份驗(yàn)證的信息，檢查：

~/.ssh/config、~/.bash_history和.ssh/known_hosts搜集信息，通過SSH進(jìn)行嘗試連接。

從http://202.28.229.174下載二進(jìn)制文件kik并執(zhí)行。

ap.txt：

查看當(dāng)前進(jìn)程是否存在hezb，如果沒有，重新下載ap.sh腳本并執(zhí)行。

ldr.sh：

ldr.sh與ap.sh腳本大體代碼相同，只有礦池地址和錢包地址有所不同，下載的文件名稱為kthmimu.txt，與ap.txt內(nèi)容相同。推測該腳本為ap.sh的升級(jí)版本或測試版本。

Ko：

該二進(jìn)制文件經(jīng)過搜索字符串特征判斷為CVE-2021-4034漏洞利用程序， 成功利用漏洞后會(huì)使本地權(quán)限提升。

kik：

kik 是一個(gè)靜態(tài)鏈接的64位Golang ELF二進(jìn)制文件。此二進(jìn)制文件嘗試匹配特定值，同時(shí)排除其他值并將結(jié)果值通過管道傳遞給“kill -9”。這是在一個(gè)循環(huán)中執(zhí)行，將“命令執(zhí)行成功”打印到標(biāo)準(zhǔn)輸出。

下載的主體挖礦程序?yàn)閟ys._x86_64重命名為hezb,是用開源挖礦程序XMRig6.16.4版本改編編譯而成，自己命名為6.16.5版本。

防護(hù)建議

1、及時(shí)更新WSO2和Confluence補(bǔ)丁可避免感染該挖礦木馬。

2、已購買天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)（TopTVD）、天融信入侵檢測系統(tǒng)（TopSentry）新版本、天融信入侵防御系統(tǒng)（TopIDP）新版本的客戶，可以升級(jí)僵尸主機(jī)規(guī)則庫進(jìn)行有效監(jiān)測防護(hù)。

僵尸主機(jī)規(guī)則庫版本號(hào)：

ngtvd-v2022.07.11.001

下載地址：

ftp://ftp.topsec.com.cn/天融信下一代入侵防御系統(tǒng)(NGIDP)/僵尸主機(jī)規(guī)則庫/ngtvd-v2022.07.11.001.tor

產(chǎn)品咨詢

您可以登陸天融信官網(wǎng)查詢了解天融信入侵防御系統(tǒng)、天融信入侵檢測系統(tǒng)、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)，也可撥打客服熱線400-777-0777進(jìn)行產(chǎn)品咨詢。