近日,安天 CERT 在梳理网络安全事件时发现一个名为 z0Miner 的挖矿木马变种。z0Miner 首次出现时间是在 2020 年,攻击者利用多个远程代码执行漏洞传播该木马。安天CERT 近期监测到该木马变种利用 Confluence产品漏洞进行传播。
2021 年 8 月,Atlassian 官方发布公告,披露了一个旗下 Confluence 产品的远程代码执行漏洞(CVE-2021-26084), Confluence 是该公司出品 wiki 程序,是目前市场上非常流行的企业wiki 应用。攻击者经过认证后或在部分场景下无需认证,即可远程执行任意代码。z0Miner木马近期通过该漏洞进行传播。
攻击者利用漏洞成功后,执行挖矿木马z0Miner。z0Miner 部署 web shell 下载多个文件,包 括 sys.ps1、vmicguestvs.dll 和 ok.bat。sys.ps1的功能有两个,第一个功能是创建计划任务并将它伪装成 .NET Framework NGEN 任务,该任务每隔五分钟从 Pastebin 下载并执行脚本(因链接失效无法获取脚本)。sys.ps1 的第二个功能是下载 clean.bat,clean.bat 的功能是查找并删除其他挖矿木马。z0Miner 将 vmicguestvs.dll 伪 装 为 合 法 的 集 成 服 务(Hyper-V Guest Integration)以规避防御机制。ok.bat 的功能是下载挖矿程序。
安天 CERT 提醒广大政企客户,应提高网络安全意识,在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱密码,如果业务上无需使用远程桌面服务,建议将其关闭。目前,安天追影产品已经实现了对该类挖矿木马的鉴定;安天智甲已经实现了对该挖矿木马的查杀。