活跃的Kthmimu挖矿木马分析
时间 : 2022年05月27日 来源: 安天CERT
1.概述
自2022年三月以来,安天CERT陆续捕获到Kthmimu挖矿木马攻击样本,该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿。
该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上,木马使用Shell脚本下载挖矿程序,并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。
经验证,安天智甲终端防御系统(简称IEP)Windows与Linux版本可实现对该挖矿木马的有效查杀。
2.事件对应的ATT&CK映射图谱
攻击者针对目标系统投放挖矿木马,梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。
图2-1 事件对应的ATT&CK映射图谱
攻击者使用的技术点如下表所示:
表2-1 事件对应的ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
侦察 |
主动扫描 |
扫描log4j 2漏洞 |
|
初始访问 |
利用面向公众的应用程序 |
利用Java等面向公众的应用程序 |
|
执行 |
利用命令和脚本解释器 |
使用PowerShell和Shell脚本 |
|
利用Windows管理规范(WMI) |
删除现有WMI类的实例 |
|
|
持久化 |
利用计划任务/工作 |
设置计划任务 |
|
防御规避 |
混淆文件或信息 |
使用Base64进行混淆 |
|
发现 |
发现系统所有者/用户 |
判断系统用户名 |
|
发现进程 |
发现竞品进程 |
|
|
影响 |
资源劫持 |
利用系统CPU资源 |
3.攻击流程和传播途径
3.1 攻击流程
Kthmimu挖矿木马在Windows平台中使用名为“lr.ps1”的PowerShell脚本执行主要功能,具体功能为下载挖矿程序和配置文件,删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。在Linux平台中使用名为“lr.sh”的Shell脚本执行主要功能,具体功能为下载并执行挖矿程序、结束竞品挖矿程序和创建计划任务等。
图3-1 攻击流程
3.2 传播途径
攻击者使用Log4j 2漏洞进行传播攻击脚本,以下是Windows和Linux双平台Log4j 2漏洞利用代码。
图3-2 下载lr.ps1
图3-3 下载lr.sh
3.3 攻击事件样本整理
根据攻击事件对样本进行梳理得到如下信息:
表3-1 攻击事件样本整理
|
样本下载地址 |
详细说明 |
|
hxxp[:]//14.55.65.217:8080/a/x.exe |
Windows门罗币挖矿程序 |
|
hxxp[:]//14.55.65.217:8080/a/lr.ps1 |
Windows恶意PowerShell |
|
hxxp[:]//14.55.65.217:8080/a/config.json |
门罗币挖矿配置文件 |
|
hxxp[:]//14.55.65.217:8080/a/x.rar |
Linux门罗币挖矿程序 |
|
hxxp[:]//14.55.65.217:8080/a/lr.sh |
Linux恶意Shell |
|
hxxp[:]//14.55.65.217:8080/a/apache.sh |
Linux恶意Shell |
表3-2 挖矿脚本中的矿池地址和钱包地址
|
矿池地址 |
钱包地址 |
|
91.121.140.167:80 |
45tdM15BthJWCKScmdxF9nGKfnZJpV8jK3ZmBDUofM5fdzoXURTrb9QQeCwiNXHyvibVFqtxeWwx57FnCqL4Z3y4S4G2tTy |
|
pool.supportxmr.com:80 |
根据矿池地址记录,目前,该钱包现在平均算力约170KH/s。
图3-4 挖矿算力
4.防护建议
针对非法挖矿,安天建议企业采取如下防护措施:
1.安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;
2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
4.及时更新第三方应用补丁:建议及时更新第三方应用如Tomcat、WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁;
5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
6.主机加固:对系统进行渗透测试及安全加固;
7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统
(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;8.安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)Windows版和Linux版均可实现对该挖矿程序的有效查杀。
图4-1 安天智甲Windows版有效防护
图4-2 安天智甲Linux版有效查杀
5.样本分析
5.1 Windows样本分析
5.1.1 lr.ps1
表5-1 脚本文件
|
病毒名称 |
Trojan/Win32.Ymacco |
|
原始文件名 |
lr.ps1 |
|
MD5 |
701EDFC11EE90B8A0D106B6FD98F5B42 |
|
文件大小 |
2.84KB(2,904字节) |
|
解释语言 |
PowerShell |
|
VT首次上传时间 |
2022-03-06 02:22:32 |
|
VT检测结果 |
12/59 |
删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。
图5-1 删除WMI类的实例
如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。
图5-2 下载挖矿程序
5.2 Linux样本分析
5.2.1 lr.sh
表5-2 脚本文件
|
病毒名称 |
Trojan[Downloader]/Shell.Agent |
|
原始文件名 |
lr.sh |
|
MD5 |
E06704BCBED0CE2D7CADE20FA1D8A7B6 |
|
文件大小 |
2.09KB(2,138字节) |
|
解释语言 |
Shell |
|
VT首次上传时间 |
2022-03-05 22:26:41 |
|
VT检测结果 |
20/58 |
结束竞品挖矿进程。
图5-3 结束竞品挖矿程序
创建计划任务,查询重要目录下的挖矿关键字符串等信息,如果则强制结束相关进程。
图5-4 创建计划任务
下载挖矿程序和配置文件以及脚本文件并执行,最后删除脚本文件。
图5-5 下载挖矿程序和配置文件
5.2.2 apache.sh
结束竞品程序,独占系统资源。
图5-6 结束竞品进程
6.IoCs
|
IoCs |
|
3EDCDE37DCECB1B5A70B727EA36521DE |
|
701EDFC11EE90B8A0D106B6FD98F5B42 |
|
BF9CC5DF6A9FF24395BD10631369ACBF |
|
D6E55C081CCABD81E5DE99ABFE9597F4 |
|
135276572F4C6A8B10BD31342997B458 |
|
E06704BCBED0CE2D7CADE20FA1D8A7B6 |
|
639825B85E02E6B9DFFCA50EE4DE9B6B |
|
56BB7858F60C026DF6D48C32099EA2E7 |
|
14.55.65.217 |
|
14.55.65.199 |
|
91.121.140.167 |
|
pool.supportxmr.com:80 |
|
hxxp[:]//14.55.65.217:8080/a/x.exe |
|
hxxp[:]//14.55.65.217:8080/a/lr.ps1 |
|
hxxp[:]//14.55.65.217:8080/a/config.json |
|
hxxp[:]//14.55.65.217:8080/a/lrr.txt |
|
hxxp[:]//14.55.65.217:8080/a/x.rar |
|
hxxp[:]//14.55.65.217:8080/a/lr.sh |
|
hxxp[:]//14.55.65.217:8080/a/apache.sh |