H2Miner从2019年开始活跃,向Linux和Windows平台传播恶意脚本,最终下载门罗币挖矿程序等后门和端口扫描工具等等。H2Miner主要利用RCE漏洞进行传播,此次研究人员抓取的样本利用CVE-2020-14883(WebLogicRCE漏洞)进行传播。详情H2Miner挖矿组织在Linux平台上传播Kinsing僵尸网络,因其守护进程名为“kinsing”而得名。该恶意软件具有挖矿功能,同时在被攻陷主机上开启后门,具有masscan端口扫描功能,连接C2服务器上传基本信息,同时具有下载脚本进行横向攻击的功能移动。攻击者使用的技术点如下:攻击者利用该漏洞入侵Windows平台和Linux平台。在Windows平台,被攻陷主机下载并执行wbw.xmlXML文件,执行XML文件中的PowerShell命令,下载名为1.ps1的脚本,该脚本下载挖矿程序和挖矿配置文件并重命名执行.,创建定时任务每30分钟执行1.ps1脚本,实现持久化长期驻留在崩溃主机上。在Linux平台上,受感染的主机下载并执行名为wb.xml的XML文件。这个XML文件使用相同的方法嵌入bash脚本。执行后,下载挖矿脚本。主要功能包括清除竞争挖矿程序和定时任务、MD5校验、卸载安全软件、下载并执行Kinsing恶意软件等。Kinsing恶意软件不仅具有挖矿功能,还对被攻陷主机开启后门和masscan端口扫描功能,并连接到C2服务器,上传版本号、核心数、内存信息、操作系统信息、是否获取Root权限、Uuid等信息。并会下载后续脚本进行横向移动等。整体攻击流程如下:据悉,H2Miner组织于2019年底首次利用Kinsing僵尸网络发起攻击,主要针对Linux服务器。2020年底的新版本更新中加入了针对Windows平台的攻击,可以通过双平台传播。
