活跃的Kthmimu挖矿木马分析

时间 :  2022年05月27日  来源:  6163银河.net163.amCERT

1.概述


自2022年三月以来,6163银河.net163.amCERT陆续捕获到Kthmimu挖矿木马攻击样本,该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿。

该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上,木马使用Shell脚本下载挖矿程序,并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。

经验证,6163银河.net163.am智甲终端防御系统(简称IEP)Windows与Linux版本可实现对该挖矿木马的有效查杀。

2.事件对应的ATT&CK映射图谱


攻击者针对目标系统投放挖矿木马,梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图2-1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示:

表2-1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦察

主动扫描

扫描log4j 2漏洞

初始访问

利用面向公众的应用程序

利用Java等面向公众的应用程序

执行

利用命令和脚本解释器

使用PowerShellShell脚本

利用Windows管理规范(WMI

删除现有WMI类的实例

持久化

利用计划任务/工作

设置计划任务

防御规避

混淆文件或信息

使用Base64进行混淆

发现

发现系统所有者/用户

判断系统用户名

发现进程

发现竞品进程

影响

资源劫持

利用系统CPU资源

3.攻击流程和传播途径


3.1 攻击流程

Kthmimu挖矿木马在Windows平台中使用名为“lr.ps1”的PowerShell脚本执行主要功能,具体功能为下载挖矿程序和配置文件,删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。在Linux平台中使用名为“lr.sh”的Shell脚本执行主要功能,具体功能为下载并执行挖矿程序、结束竞品挖矿程序和创建计划任务等。

图3-1 攻击流程

3.2 传播途径

攻击者使用Log4j 2漏洞进行传播攻击脚本,以下是Windows和Linux双平台Log4j 2漏洞利用代码。

图3-2 下载lr.ps1

图3-3 下载lr.sh

3.3 攻击事件样本整理

根据攻击事件对样本进行梳理得到如下信息:

表3-1 攻击事件样本整理

样本下载地址

详细说明

hxxp[:]//14.55.65.217:8080/a/x.exe

Windows门罗币挖矿程序

hxxp[:]//14.55.65.217:8080/a/lr.ps1

Windows恶意PowerShell

hxxp[:]//14.55.65.217:8080/a/config.json

门罗币挖矿配置文件

hxxp[:]//14.55.65.217:8080/a/x.rar

Linux门罗币挖矿程序

hxxp[:]//14.55.65.217:8080/a/lr.sh

Linux恶意Shell

hxxp[:]//14.55.65.217:8080/a/apache.sh

Linux恶意Shell

表3-2 挖矿脚本中的矿池地址和钱包地址

矿池地址

钱包地址

91.121.140.167:80

45tdM15BthJWCKScmdxF9nGKfnZJpV8jK3ZmBDUofM5fdzoXURTrb9QQeCwiNXHyvibVFqtxeWwx57FnCqL4Z3y4S4G2tTy

pool.supportxmr.com:80

根据矿池地址记录,目前,该钱包现在平均算力约170KH/s。

图3-4 挖矿算力

4.防护建议


针对非法挖矿,6163银河.net163.am建议企业采取如下防护措施:

1.安装终端防护:安装反病毒软件,针对不同平台建议安装6163银河.net163.am智甲终端防御系统Windows/Linux版本;

2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;

4.及时更新第三方应用补丁:建议及时更新第三方应用如Tomcat、WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁;

5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

6.主机加固:对系统进行渗透测试及安全加固;

7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。6163银河.net163.am探海威胁检测系统

(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

8.6163银河.net163.am服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;6163银河.net163.am7*24小时服务热线:400-840-9234。

经验证,6163银河.net163.am智甲终端防御系统(简称IEP)Windows版和Linux版均可实现对该挖矿程序的有效查杀。

图4-1 6163银河.net163.am智甲Windows版有效防护

图4-2 6163银河.net163.am智甲Linux版有效查杀

5.样本分析


5.1 Windows样本分析

5.1.1 lr.ps1

表5-1 脚本文件

病毒名称

Trojan/Win32.Ymacco

原始文件名

lr.ps1

MD5

701EDFC11EE90B8A0D106B6FD98F5B42

文件大小

2.84KB(2,904字节)

解释语言

PowerShell

VT首次上传时间

2022-03-06 02:22:32

VT检测结果

12/59

删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。

图5-1 删除WMI类的实例

如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。

图5-2 下载挖矿程序

5.2 Linux样本分析

5.2.1 lr.sh

表5-2 脚本文件

病毒名称

Trojan[Downloader]/Shell.Agent

原始文件名

lr.sh

MD5

E06704BCBED0CE2D7CADE20FA1D8A7B6

文件大小

2.09KB(2,138字节)

解释语言

Shell

VT首次上传时间

2022-03-05 22:26:41

VT检测结果

20/58

结束竞品挖矿进程。

图5-3 结束竞品挖矿程序

创建计划任务,查询重要目录下的挖矿关键字符串等信息,如果则强制结束相关进程。

图5-4 创建计划任务

下载挖矿程序和配置文件以及脚本文件并执行,最后删除脚本文件。

图5-5 下载挖矿程序和配置文件

5.2.2 apache.sh

结束竞品程序,独占系统资源。

图5-6 结束竞品进程

6.IoCs


IoCs

3EDCDE37DCECB1B5A70B727EA36521DE

701EDFC11EE90B8A0D106B6FD98F5B42

BF9CC5DF6A9FF24395BD10631369ACBF

D6E55C081CCABD81E5DE99ABFE9597F4

135276572F4C6A8B10BD31342997B458

E06704BCBED0CE2D7CADE20FA1D8A7B6

639825B85E02E6B9DFFCA50EE4DE9B6B

56BB7858F60C026DF6D48C32099EA2E7

14.55.65.217

14.55.65.199

91.121.140.167

pool.supportxmr.com:80

hxxp[:]//14.55.65.217:8080/a/x.exe

hxxp[:]//14.55.65.217:8080/a/lr.ps1

hxxp[:]//14.55.65.217:8080/a/config.json

hxxp[:]//14.55.65.217:8080/a/lrr.txt

hxxp[:]//14.55.65.217:8080/a/x.rar

hxxp[:]//14.55.65.217:8080/a/lr.sh

hxxp[:]//14.55.65.217:8080/a/apache.sh