日前,騰訊御見(jiàn)威脅情報(bào)中心通報(bào)了一起H2Miner黑產(chǎn)團(tuán)伙利用SaltStack漏洞控制服務(wù)器挖礦的入侵案例。
據(jù)悉,騰訊安全威脅情報(bào)中心于2020年05月03日檢測(cè)到H2Miner木馬利用SaltStack遠(yuǎn)程命令執(zhí)行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企業(yè)主機(jī)進(jìn)行挖礦。通過(guò)對(duì)木馬的核心腳本以及可執(zhí)行文件的對(duì)比分析,確認(rèn)了此次攻擊行動(dòng)屬于挖礦木馬家族H2Miner。
據(jù)了解,H2Miner是一個(gè)linux下的挖礦僵尸網(wǎng)絡(luò),通過(guò)hadoop yarn未授權(quán)、docker未授權(quán)、confluence RCE、thinkphp 5 RCE、Redis未授權(quán)等多種手段進(jìn)行入侵,下載惡意腳本及惡意程序進(jìn)行挖礦牟利,橫向掃描擴(kuò)大攻擊面并維持C&C通信。
騰訊安全威脅情報(bào)中心大數(shù)據(jù)統(tǒng)計(jì)結(jié)果顯示,H2Miner利用SaltStack漏洞的攻擊自5月3日開(kāi)始,目前呈快速增長(zhǎng)趨勢(shì)。H2Miner挖礦木馬運(yùn)行時(shí)會(huì)嘗試卸載服務(wù)器的安全軟件,清除服務(wù)器安裝的其他挖礦木馬,以獨(dú)占服務(wù)器資源。目前,H2Miner黑產(chǎn)團(tuán)伙通過(guò)控制服務(wù)器進(jìn)行門(mén)羅幣挖礦已非法獲利超370萬(wàn)元。
Saltstack是基于python開(kāi)發(fā)的一套C/S自動(dòng)化運(yùn)維工具。近日,SaltStack被爆存在認(rèn)證繞過(guò)漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652),其中:
CVE-2020-11651:為認(rèn)證繞過(guò)漏洞,攻擊者可構(gòu)造惡意請(qǐng)求,繞過(guò)Salt Master的驗(yàn)證邏輯,調(diào)用相關(guān)未授權(quán)函數(shù)功能,達(dá)到遠(yuǎn)程命令執(zhí)行目的。
CVE-2020-11652:為目錄遍歷漏洞,攻擊者可構(gòu)造惡意請(qǐng)求,讀取服務(wù)器上任意文件,獲取系統(tǒng)敏感信息信息。
快科技了解到,此次入侵導(dǎo)致不少CDN平臺(tái)服務(wù)商平臺(tái)出現(xiàn)故障,進(jìn)而導(dǎo)致多家網(wǎng)站訪問(wèn)受到影響。
騰訊安全專(zhuān)家建議企業(yè)采取以下措施強(qiáng)化服務(wù)器安全,檢查并清除服務(wù)器是否被入侵安裝H2Miner挖礦木馬:
1、將Salt Master默認(rèn)監(jiān)聽(tīng)端口(默認(rèn)4505 和 4506)設(shè)置為禁止對(duì)公網(wǎng)開(kāi)放,或僅對(duì)可信對(duì)象開(kāi)放。將SaltStack升級(jí)至安全版本以上,升級(jí)前建議做好快照備份,設(shè)置SaltStack為自動(dòng)更新,及時(shí)獲取相應(yīng)補(bǔ)丁。
2、Redis 非必要情況不要暴露在公網(wǎng),使用足夠強(qiáng)壯的Redis口令。
3、參考以下步驟手動(dòng)檢查并清除H2Miner挖礦木馬:
kill掉進(jìn)程中包含salt-minions和salt-store文件的進(jìn)程,文件hash為a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb;
刪除文件/tmp/salt-minions、/tmp/salt-store;
將惡意腳本服務(wù)器地址217.12.210.192、206.189.92.32進(jìn)行封禁;
升級(jí)SaltStack到2019.2.4或3000.2,防止病毒再次入侵。
關(guān)鍵詞: 騰訊
網(wǎng)站首頁(yè) |網(wǎng)站簡(jiǎn)介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
中國(guó)網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書(shū)面授權(quán) 不得復(fù)制或建立鏡像
聯(lián)系郵箱:920 891 263@qq.com