事件背景

近日，深信服安全云脑捕获到一起H2Miner黑产组织的最新攻击事件。该组织使用新的C2服务器，通过Weblogic 远程执行漏洞，同时向主机植入Linux和Windows恶意脚本，最终执行门罗币挖矿程序。

H2Miner黑产组织（Kinsing挖矿僵尸网络）最早活跃在2019年底和2020年初，并一直持续更新活跃，主要是针对Linux服务器进行攻击，因守护进程kinsing而得名。该挖矿组织擅长使用RCE漏洞进行攻击， 曾在2020年5月和7月之间使用SaltStack RCE(CVE-2020-11651), ThinkPHP5 RC, Solr dataimport RCE(CVE-2019-0193), Redis未授权RCE, Confluence 未授权RCE(CVE-2019-3396) 等高危漏洞进行攻击。本次捕获的攻击使用了Weblogic RCE 漏洞，攻击时间在10月30日前后，综合payload和攻击时间判断，疑似利用了最新的漏洞 CVE-2020-14882/14883。和以往攻击目标相比，还增加了对Windows主机的攻击，以恶意powershell脚本的方式实现Windows主机的挖矿。

攻击流程

详细分析

本次攻击事件涉及的样本整理

Windows挖矿样本的矿池和钱包地址

Weblogic RCE 样本分析

攻击者向主机发送一个构造好的数据包，将该数据包中的payload部分设在远程服务器xml文件中，漏洞成功触发后，主机会请求远程服务器的xml文件，并解析执行。本次攻击事件中，攻击组织同时向目标主机发送Linux和Windows的payload，漏洞利用成功后，对应的系统的payload的会被执行。

根据后台系统匹配的攻击时间分析，Oracle官方发布十月份补丁安全公告，以及近期的对此漏洞利用的威胁情报，判断出攻击者利用了CVE-2020-14882/14883漏洞：

Windows的漏洞利用payload （wbw.xml）：

Linux的漏洞利用payload (wb.xml)：

Windows 样本分析--1.ps1

门罗币挖矿程序和配置文件的下载路径和保存路径：

下载函数：

下载挖矿程序：

下载挖矿配置文件：

更新程序和添加到计划任务：

Windows 样本分析--xmrig.exe

编译时间为10月18日：

为64位的门罗币，版本位6.4.0：

Windows 样本分析--config.json

配置文件中有4个矿池地址，钱包地址都为4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC：

截止分析时该钱包的收益为0.0052XMR，从算力和收益来看，目前Windows主机上的感染量还不大：

Linux 样本分析--wb.sh

对比了今年批露的威胁情报，针对Linux的恶意脚本在功能上没有太大的变化，主要是更新了C2服务器地址，主要功能为：禁用Selinux；卸载主机的安全软件阿里云骑士和腾讯云镜；清除挖矿竞品；下载执行恶意木马kinsing；添加到计划任务。kinsing主要功能为挖矿，爆破横向移动和远控。

其中，kinsing的样本没有做更新，md5校验值和7月批露的威胁情报一致（详情见参考链接），都为52ca5bc47c84a748d2b349871331d36a，而下载的服务器地址做了改变：

VT 上的查询结果为7月的样本：

添加到计划任务的部分，该部分的远程服务器地址也做了更新：

卸载主机的安全软件阿里云骑士和腾讯云镜：

清除竞品的挖矿程序：

清除竞品的计划任务：

IOC

url:

http[:]//95.142.39.135/wb.xml

http[:]//95.142.39.135/wbw.xml

95.142.39.135/wb.sh

http[:]//95.142.39.135/1.ps1

http[:]//95.142.39.135/kinsing

http[:]//95.142.39.135/xmrig.exe

http[:]//95.142.39.135/config.json

http[:]//195.3.146.118/wb.sh

http[:]//45.10.89.187/kinsing

https[:]//bitbucket.org/tromdiga1/git/raw/master/kinsing

https[:]//bitbucket.org/tromdiga1/git/raw/master/for

http[:]//93.189.43.3/kinsing

http[:]//93.189.43.3/kinsing2

http[:]//93.189.43.3/spr.sh

http[:]//93.189.43.3/spre.sh

http[:]//93.189.43.3/a.sh

http[:]//93.189.43.3/cron.sh

http[:]//93.189.43.3/d.sh

http[:]//93.189.43.3/ex.sh

http[:]//93.189.43.3/h2.sh

http[:]//93.189.43.3/j.sh

http[:]//93.189.43.3/lf.sh

http[:]//93.189.43.3/p.sh

http[:]//93.189.43.3/pa.sh

http[:]//93.189.43.3/s.sh

http[:]//93.189.43.3/t.sh

http[:]//93.189.43.3/tf.sh

http[:]//93.189.43.3/al.sh

ip:

95.142.39[.]135

195.3.146[.]118

45.10.89[.]187

93.189.43[.]3

md5：

11e3bac0c37ed0bc89563b6a7106bcf9

fe0f332ed847a25a18cd63dfdaf69908

19a43cb3d3518c71a8616e75890882eb

70000d52dc3ad153464dc41891c10439

57f0fdec4d919db0bd4576dc84aec752

8c6681daba966addd295ad89bf5146af

52ca5bc47c84a748d2b349871331d36a

e3af308c4a4130dd77dc5772d801ebab

bd405b37e69799492a58a50f5efc2725

be17040e1a4eaf7e2df8c0273ff2dfd2

7f469ccecbf9d0573f0efd456e8e63a7

1b34c5bb3a06c4439b5da77c49f14cf7

41640173ddb6a207612ee052b48dd8be

bac660c7aa23f4fda6c699c75b4b89f1

e040303652c05dbf6469c9c3ce68031a

18dc6621299b855793bdeaad8ef5af23

1c489a326a4d37fbf02680bbd6f38b4f

255779cf6134f3ac5133f04868e3956c

639d87d54aa57371cc0bf82409503311

ae9017bbeac57bc4de1ac5f59d59c519

831093a5a825ab096c2fc73a7a52bbf1

d06e2a3f52043c3a3c3ecf1f406b8241

手动修复建议

针对Linux 用户：

（1）查找路径为/tmp/kinsing, /tmp/knsing2, /tmp/kdevtmpfsi的进程，结束并删除对应的文件；

（2）查找crontab任务中包含“195.3.146.118”的相关项并删除

（3）修复Weblogic等现存的漏洞

针对Windows 用户：

（1）结束sysupdate.exe进程

（2）删除%TMP%\sysupdate.exe, %TMP%\config.json, %TMP%\update.ps1文件

（3）删除计划任务项 "Update service for Windows Service"

（4）修复Weblogic等现存的漏洞

参考链接

https://guanjia.qq.com/news/n3/2581.html(Linux服务器遭遇挖矿蠕虫攻击，已有数千台服务器中招)

https://blog.csdn.net/god_zzZ/article/details/109445728(漏洞利用介绍)

https://www.oracle.com/security-alerts/cpuoct2020.html(Oracle官方发布十月份补丁安全公告)