日前,腾讯御剑威胁情报中心通报了一起H2Miner黑客组织利用SaltStack漏洞控制服务器挖矿的入侵案例。据悉,腾讯安全威胁情报中心于2020年5月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企业主机进行挖矿。通过木马核心脚本和可执行文件对比分析,确认本次攻击属于挖矿木马家族H2Miner。据了解,H2Miner是一个linux下的挖矿僵尸网络。通过hadoopyarn越权、docker越权、confluenceRCE、thinkphp5RCE、Redis越权等多种方式进行入侵,下载恶意脚本、恶意程序进行挖矿。为了盈利,横向扫描扩大了攻击面并保持了C&C通信。据腾讯安全威胁情报中心大数据统计,H2Miner利用SaltStack漏洞发起的攻击活动始于5月3日,目前呈快速增长态势。H2Miner挖矿木马运行时,会尝试卸载服务器的安全软件,清除服务器上安装的其他挖矿木马,以独占服务器资源。目前,H2Miner团伙通过控制服务器挖门罗币,非法获利370余万元。Saltstack是一套基于python开发的C/S自动化运维工具。近日,SaltStack被曝存在身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。通过SaltMaster的校验逻辑,调用相关未授权函数,达到远程命令执行的目的。CVE-2020-11652:目录遍历漏洞,攻击者可以构造恶意请求,读取服务器任意文件,获取系统敏感信息。这次入侵导致很多CDN平台服务商平台出现故障,进而影响了很多网站的访问。腾讯安全专家建议企业采取以下措施加强服务器安全,检查并清除服务器是否被入侵并安装H2Miner挖矿木马:设置SaltMaster默认监听端口(默认4505和4506)禁止开放公共网络,或只对可信对象开放。将SaltStack升级到安全版本或更高版本。升级前,建议做好快照备份,将SaltStack设置为自动更新,并及时获取相应的补丁。除非必要,不要将Redis暴露在公共网络中,并使用足够强的Redis密码。手动查清H2Miner挖矿木马参考以下步骤:kill进程中含有salt-minions和salt-store文件的进程,文件hash为a28ded80d7ab5c69d6ccde4602eef861,8ec3385e20d6d9a88bc95831783beaeb;删除文件/tmp/salt-minions,/tmp/salt-store;拦截恶意脚本服务器地址217.12.210.192和206.189.92.32;将SaltStack升级到2019.2.4或3000.2,防止病毒再次入侵。这些文章是从在线新闻材料中收集和整理的。如有错误或其他问题,欢迎留言指正。如果有帮助,请点赞+转发分享。欢迎大家关注米公公的公众号:米公公的技术之路
