WebLogic漏洞最新情报：H2Miner双杀操作系统挖矿

事件背景近日，深信服安全云脑捕获到一起H2Miner黑产组织的最新攻击事件。该组织使用新的C2服务器，通过Weblogic 远程执行漏洞，同时向主机植入Linux和Windows恶意脚本，最终执行门罗币挖矿程序。H2Miner黑产组织（Kinsing挖矿僵尸网络）最早活跃在2019年底和2020年初，并一直持续更新活跃，主要是针对Linux服务器进行攻击，因守护进程kinsing而得名。该挖矿组织擅长使用RCE漏洞进行攻击， 曾在2020年5月和7月之间使用SaltStack RCE(CVE-2020-11651), ThinkPHP5 RC, Solr dataimport RCE(CVE-2019-0193), Redis未授权RCE, Confluence 未授权RCE(CVE-2019-3396) 等高危漏洞进行攻击。本次捕获的攻击使用了Weblogic RCE 漏洞，攻击时间在10月30日前后，综合payload和攻击时间判断，疑似利用了最新的漏洞 CVE-2020-14882/14883。和以往攻击目标相比，还增加了对Windows主机的攻击，以恶意powershell脚本的方式实现Windows主机的挖矿。攻击流程详细分析本次攻击事件涉及的样本整理Windows挖矿样本的矿池和钱包地址Weblogic RCE 样本分析攻击者向主机发送一个构造好的数据包，将该数据包中的payload部分设在远程服务器xml文件中，漏洞成功触发后，主机会请求远程服务器的xml文件，并解析执行。本次攻击事件中，攻击组织同时向目标主机发送Linux和Windows的payload，漏洞利用成功后，对应的系统的payload的会被执行。根据后台系统匹配的攻击时间分析，Oracle官方发布十月份补丁安全公告，以及近期的对此漏洞利用的威胁情报，判断出攻击者利用了CVE-2020-14882/14883漏洞：Windows的漏洞利用payload （wbw.xml）：Linux的漏洞利用payload (wb.xml)：Windows 样本分析--1.ps1门罗币挖矿程序和配置文件的下载路径和保存路径：下载函数：下载挖矿程序：下载挖矿配置文件：更新程序和添加到计划任务：Windows 样本分析--xmrig.exe编译时间为10月18日：为64位的门罗币，版本位6.4.0：Windows 样本分析--config.json配置文件中有4个矿池地址，钱包地址都为4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC：截止分析时该钱包的收益为0.0052XMR，从算力和收益来看，目前Windows主机上的感染量还不大：Linux 样本分析--wb.sh对比了今年批露的威胁情报，针对Linux的恶意脚本在功能上没有太大的变化，主要是更新了C2服务器地址，主要功能为：禁用Selinux；卸载主机的安全软件阿里云骑士和腾讯云镜；清除挖矿竞品；下载执行恶意木马kinsing；添加到计划任务。kinsing主要功能为挖矿，爆破横向移动和远控。其中，kinsing的样本没有做更新，md5校验值和7月批露的威胁情报一致（详情见参考链接），都为52ca5bc47c84a748d2b349871331d36a，而下载的服务器地址做了改变：VT 上的查询结果为7月的样本：添加到计划任务的部分，该部分的远程服务器地址也做了更新：卸载主机的安全软件阿里云骑士和腾讯云镜：清除竞品的挖矿程序：清除竞品的计划任务：IOCurl:http[:]//95.142.39.135/wb.xmlhttp[:]//95.142.39.135/wbw.xml95.142.39.135/wb.shhttp[:]//95.142.39.135/1.ps1http[:]//95.142.39.135/kinsinghttp[:]//95.142.39.135/xmrig.exehttp[:]//95.142.39.135/config.jsonhttp[:]//195.3.146.118/wb.shhttp[:]//45.10.89.187/kinsinghttps[:]//bitbucket.org/tromdiga1/git/raw/master/kinsinghttps[:]//bitbucket.org/tromdiga1/git/raw/master/forhttp[:]//93.189.43.3/kinsinghttp[:]//93.189.43.3/kinsing2http[:]//93.189.43.3/spr.shhttp[:]//93.189.43.3/spre.shhttp[:]//93.189.43.3/a.shhttp[:]//93.189.43.3/cron.shhttp[:]//93.189.43.3/d.shhttp[:]//93.189.43.3/ex.shhttp[:]//93.189.43.3/h2.shhttp[:]//93.189.43.3/j.shhttp[:]//93.189.43.3/lf.shhttp[:]//93.189.43.3/p.shhttp[:]//93.189.43.3/pa.shhttp[:]//93.189.43.3/s.shhttp[:]//93.189.43.3/t.shhttp[:]//93.189.43.3/tf.shhttp[:]//93.189.43.3/al.ship:95.142.39[.]135195.3.146[.]11845.10.89[.]18793.189.43[.]3md5：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手动修复建议针对Linux 用户：（1）查找路径为/tmp/kinsing, /tmp/knsing2, /tmp/kdevtmpfsi的进程，结束并删除对应的文件；（2）查找crontab任务中包含“195.3.146.118”的相关项并删除（3）修复Weblogic等现存的漏洞针对Windows 用户：（1）结束sysupdate.exe进程（2）删除%TMP%\sysupdate.exe, %TMP%\config.json, %TMP%\update.ps1文件（3）删除计划任务项 "Update service for Windows Service"（4）修复Weblogic等现存的漏洞参考链接https://guanjia.qq.com/news/n3/2581.html(Linux服务器遭遇挖矿蠕虫攻击，已有数千台服务器中招)https://blog.csdn.net/god_zzZ/article/details/109445728(漏洞利用介绍)https://www.oracle.com/security-alerts/cpuoct2020.html(Oracle官方发布十月份补丁安全公告)