日前,騰訊御見威脅情報中心通報了一起H2Miner黑產團伙利用SaltStack漏洞控制伺服器挖礦的入侵案例。
據悉,騰訊安全威脅情報中心於2020年05月03日檢測到H2Miner木馬利用SaltStack遠端命令執行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企業主機進行挖礦。透過對木馬的核心指令碼以及可執行檔案的對比分析,確認了此次攻擊行動屬於挖礦木馬家族H2Miner。
據瞭解,H2Miner是一個linux下的挖礦殭屍網路,透過hadoop yarn未授權、docker未授權、confluence RCE、thinkphp 5 RCE、Redis未授權等多種手段進行入侵,下載惡意指令碼及惡意程式進行挖礦牟利,橫向掃描擴大攻擊面並維持C&C通訊。
騰訊安全威脅情報中心大資料統計結果顯示,H2Miner利用SaltStack漏洞的攻擊自5月3日開始,目前呈快速增長趨勢。H2Miner挖礦木馬執行時會嘗試解除安裝伺服器的安全軟體,清除伺服器安裝的其他挖礦木馬,以獨佔伺服器資源。目前,H2Miner黑產團伙透過控制伺服器進行門羅幣挖礦已非法獲利超370萬元。
Saltstack是基於python開發的一套C/S自動化運維工具。近日,SaltStack被爆存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652),其中:
CVE-2020-11651:為認證繞過漏洞,攻擊者可構造惡意請求,繞過Salt Master的驗證邏輯,呼叫相關未授權函式功能,達到遠端命令執行目的。
CVE-2020-11652:為目錄遍歷漏洞,攻擊者可構造惡意請求,讀取伺服器上任意檔案,獲取系統敏感資訊資訊。
快科技瞭解到,此次入侵導致不少CDN平臺服務商平臺出現故障,進而導致多家網站訪問受到影響。
騰訊安全專家建議企業採取以下措施強化伺服器安全,檢查並清除伺服器是否被入侵安裝H2Miner挖礦木馬:
1、將Salt Master預設監聽埠(預設4505 和 4506)設定為禁止對公網開放,或僅對可信物件開放。將SaltStack升級至安全版本以上,升級前建議做好快照備份,設定SaltStack為自動更新,及時獲取相應補丁。
2、Redis 非必要情況不要暴露在公網,使用足夠強壯的Redis口令。
3、參考以下步驟手動檢查並清除H2Miner挖礦木馬:
kill掉程序中包含salt-minions和salt-store檔案的程序,檔案hash為a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb;
刪除檔案/tmp/salt-minions、/tmp/salt-store;
將惡意指令碼伺服器地址217.12.210.192、206.189.92.32進行封禁;
升級SaltStack到2019.2.4或3000.2,防止病毒再次入侵。