1.概述

---

自2022年5月以來，安天CERT陸續捕獲到Hezb挖礦木馬攻擊樣本，該木馬在5月份時主要利用WSO2 ^[1] RCE（CVE-2022-29464）漏洞進行傳播，該漏洞是一種無需身份驗證的任意文件上傳漏洞，允許未經身份驗證的攻擊者通過上傳惡意JSP文件在WSO2服務器上獲得RCE。自Confluence ^[2] OGNL（CVE-2022-26134）漏洞利用的詳細信息公布后，Hezb挖礦木馬開始利用該漏洞進行傳播，該漏洞可以讓遠程攻擊者在未經身份驗證的情況下，構造OGNL表達式進行注入，實現在Confluence Server或Data Center上執行任意代碼。以上兩種漏洞均屬于第三方軟件漏洞，不是系統本身漏洞，所以針對企業的服務器傳播幾率較大，及時更新WSO2和Confluence補丁可避免感染該挖礦木馬。

目前，該挖礦木馬較為活躍，同時向Linux與Windows雙平臺傳播惡意腳本，下載門羅幣挖礦程序進行挖礦：在Linux平臺上使用Shell腳本執行挖礦程序，并且該腳本還會清除競品挖礦程序、下載其他惡意腳本和創建計劃任務等功能；在Windows平臺上使用bat腳本執行挖礦程序；腳本其他功能與Shell腳本功能基本一致。

經驗證，安天智甲終端防御系統（簡稱IEP）Windows與Linux版本可實現對該挖礦木馬的有效查殺和對用戶終端的切實防護。

2.事件對應的ATT&CK映射圖譜

---

攻擊者針對目標系統投放挖礦木馬，梳理本次攻擊事件對應的ATT&CK映射圖譜如下圖所示。

圖2-1 事件對應的ATT&CK映射圖譜

攻擊者使用的技術點如下表所示：

表2-1 事件對應的ATT&CK技術行為描述表

3.攻擊流程

---

3.1 攻擊流程

Hezb挖礦木馬在Windows平臺使用名為“kill.bat”的bat腳本執行主要功能，具體功能為結束競品挖礦進程、執行門羅幣挖礦以及下載名為“mad.bat”的腳本，該腳本為門羅幣挖礦程序的配置文件。在Linux平臺中使用名為“ap.sh”的Shell腳本執行主要功能，具體功能為下載curl工具，便于下載后續惡意腳本、結束競品挖礦程序、橫向移動、卸載安全軟件、執行名為“ap.txt”的腳本、下載kik惡意樣本和執行挖礦程序等。

圖3-1 攻擊流程

3.2 攻擊事件樣本整理

根據攻擊事件對樣本事件進行梳理得到如下信息：

表3-1 攻擊事件樣本整理

通過關聯發現在樣本下載地址中有一個win目錄，在該目錄下發現一個解壓縮軟件、兩個挖礦程序壓縮包和兩個Windows攻擊腳本。經確定，該目錄下存放的均是Windows挖礦有關的樣本。

圖3-2 win目錄下的所有文件

表3-2 挖礦腳本中的礦池地址和錢包地址

根據礦池地址記錄，目前，該錢包目前在開源挖礦礦池上的平均算力約540KH/s。

圖3-3 挖礦統計記錄

4.防護建議

---

針對非法挖礦，安天建議企業采取如下防護措施：

1.安裝終端防護：安裝反病毒軟件，針對不同平臺建議安裝安天智甲終端防御系統Windows/Linux版本；

2.加強SSH口令強度：避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數字和符號在內的組合，同時避免多個服務器使用相同口令；

3.及時更新補?。航ㄗh開啟自動更新功能安裝系統補丁，服務器、數據庫、中間件等易受攻擊部分應及時更新系統補??；

4.及時更新第三方應用補丁：建議及時更新第三方應用如Confluence、Tomcat、WebLogic、JBoss、Redis、Hadoop和Apache Struts等應用程序補丁；

5.開啟日志：開啟關鍵日志收集功能（安全日志、系統日志、錯誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎；

6.主機加固：對系統進行滲透測試及安全加固；

7.部署入侵檢測系統（IDS）：部署流量監控類軟件或設備，便于對惡意代碼的發現與追蹤溯源。安天探海威脅檢測系統 （PTD）以網絡流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網絡攻擊活動，有效發現網絡可疑行為、資產和各類未知威脅；

8.安天服務：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

經驗證，安天智甲終端防御系統（簡稱IEP）Windows版和Linux版均可實現對該挖礦程序的有效查殺。

圖4-1 安天智甲Windows版有效防護

圖4-2 安天智甲Linux版有效防護

5.樣本分析

---

5.1 Linux樣本分析

5.1.1 ap.sh

定義樣本下載網站以及curl工具下載地址，配置curl工具參數等。

圖5-1 定義下載網站以及curl工具

結束競品挖礦程序。

圖5-2 結束競品挖礦程序

卸載安全軟件。

圖5-3 卸載安全軟件

定義礦池地址，執行ap.txt腳本以及挖礦程序并命名為hezb。

圖5-4 命名挖礦程序hezb

從/.ssh/config，.bash_history，/.ssh/known_hosts等主機中存儲的SSH密鑰、歷史記錄和配置文件等進行搜索和匹配，來發現攻擊目標，并找到與其相對應的身份驗證的信息，檢查~/.ssh/config、~/.bash_history和.ssh/known_hosts嘗試進行橫向移動等操作。

圖5-5 橫向移動

獲取kik網址并執行。

圖5-6 執行kik

5.1.2 ap.txt

查看當前進程是否存在hezb，如果不存在，下載ldr.sh腳本。

圖5-7 下載ldr.sh腳本

5.1.3 ldr.sh

ldr.sh與ap.sh腳本大體代碼一致，只是修改了礦池地址和錢包地址，推測該腳本為ap.sh的更新版本。

圖5-8 礦池地址和錢包地址

5.1.4 ko

該二進制程序經過判斷為CVE-2021-4034漏洞利用程序， 成功利用漏洞后會使pkexec本地權限提升。該程序漏洞利用代碼與GitHub上的代碼一致。

圖5-9 CVE-2021-4034漏洞利用

5.1.5 kik

該二進制文件嘗試匹配特定值，同時排除其它值并將結果通過管道傳遞給“kill -9”。在一個循環中執行，將“Command Successfully Executed”打印到標準輸出。

圖5-10 結束部分進程

5.2 Windows樣本分析

5.2.1 kill.bat

結束競品挖礦進程，結束%TEMP%和%APPDATA%目錄下名為network02.exe的程序，刪除注冊表自啟動下的“Run2”和“Run”。

圖5-11 結束競品挖礦進程

檢測挖礦程序是否運行。

圖5-12 檢測挖礦程序是否運行

下載mad.bat腳本執行后續功能。

圖5-13 下載mad.bat腳本

5.2.2 mad.bat

mad.bat為MoneroOcean mining初始默認腳本，并添加了攻擊者的錢包地址和樣本下載目錄。

圖5-14 挖礦程序配置文件

6.IoCs

---

參考資料

---

[1] WSO2

https://baike.baidu.com/item/WSO2/3745730?fr=aladdin

[2] Confluence

https://baike.baidu.com/item/confluence/452961?fr=aladdin