近日，安天 CERT 在梳理網(wǎng)絡安全事件時發(fā)現(xiàn)一個名為 z0Miner 的挖礦木馬變種。z0Miner 首次出現(xiàn)時間是在 2020 年，攻擊者利用多個遠程代碼執(zhí)行漏洞傳播該木馬。安天CERT 近期監(jiān)測到該木馬變種利用 Confluence產(chǎn)品漏洞進行傳播。

        2021 年 8 月，Atlassian 官方發(fā)布公告，披露了一個旗下 Confluence 產(chǎn)品的遠程代碼執(zhí)行漏洞（CVE-2021-26084)， Confluence 是該公司出品 wiki 程序，是目前市場上非常流行的企業(yè)wiki 應用。攻擊者經(jīng)過認證后或在部分場景下無需認證，即可遠程執(zhí)行任意代碼。z0Miner木馬近期通過該漏洞進行傳播。

        攻擊者利用漏洞成功后，執(zhí)行挖礦木馬z0Miner。z0Miner 部署 web shell 下載多個文件，包 括 sys.ps1、vmicguestvs.dll 和 ok.bat。sys.ps1的功能有兩個，第一個功能是創(chuàng)建計劃任務并將它偽裝成 .NET Framework NGEN 任務，該任務每隔五分鐘從 Pastebin 下載并執(zhí)行腳本（因鏈接失效無法獲取腳本）。sys.ps1 的第二個功能是下載 clean.bat，clean.bat 的功能是查找并刪除其他挖礦木馬。z0Miner 將 vmicguestvs.dll 偽 裝 為 合 法 的 集 成 服 務（Hyper-V Guest Integration）以規(guī)避防御機制。ok.bat 的功能是下載挖礦程序。

        安天 CERT 提醒廣大政企客戶，應提高網(wǎng)絡安全意識，在日常工作中及時進行系統(tǒng)更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發(fā)郵件時應確認收發(fā)來源是否可靠，不隨意點擊或者復制郵件中的網(wǎng)址，不輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡異常要提高警惕并及時采取應對措施，養(yǎng)成及時更新操作系統(tǒng)和軟件應用的良好習慣。確保所有的計算機在使用遠程桌面服務時避免使用弱密碼，如果業(yè)務上無需使用遠程桌面服務，建議將其關閉。目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該類挖礦木馬的鑒定；安天智甲已經(jīng)實現(xiàn)了對該挖礦木馬的查殺。