“挖矿殭尸”利用SaltStack漏洞入侵服务器多家企业中招已获利370万

日前，腾讯御见威胁情报中心通报了一起H2Miner黑产团伙利用SaltStack漏洞控制服务器挖矿的入侵案例。

据悉，腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析，确认了此次攻击行动属于挖矿木马家族H2Miner。

据了解，H2Miner是一个linux下的挖矿殭尸网络，通过hadoopyarn未授权、docker未授权、confluenceRCE、thinkphp5RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。

腾讯安全威胁情报中心大数据统计结果显示，H2Miner利用SaltStack漏洞的攻击自5月3日开始，目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件，清除服务器安装的其他挖矿木马，以独占服务器资源。目前，H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。

Saltstack是基于python开发的一套C/S自动化运维工具。近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中：

CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过SaltMaster的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。

CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息。

333888cb-d101-4e1b-a03b-bc7f08aa7d25.png(19.81KB,下载次数:6)

2020-5-712:31上传

“挖矿殭尸”利用SaltStack漏洞入侵服务器：多家企业中招、已获利370万

此次入侵导致不少CDN平台服务商平台出现故障，进而导致多家网站访问受到影响。

腾讯安全专家建议企业採取以下措施强化服务器安全，检查并清除服务器是否被入侵安装H2Miner挖矿木马：

1、将SaltMaster默认监听端口（默认4505和4506）设置为禁止对公网开放，或仅对可信对像开放。将SaltStack升级至安全版本以上，升级前建议做好快照备份，设置SaltStack为自动更新，及时获取相应补丁。

2、Redis非必要情况不要暴露在公网，使用足够强壮的Redis口令。

3、参考以下步骤手动检查并清除H2Miner挖矿木马：

kill掉进程中包含salt-minions和salt-store文件的进程，文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb；

删除文件/tmp/salt-minions、/tmp/salt-store；

将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁；

升级SaltStack到2019.2.4或3000.2，防止病毒再次入侵。

s_2fa0e78d4f0943cb9f327b476b703f7d.jpg(321.61KB,下载次数:6)

2020-5-712:32上传

消息来源

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！