日前，騰訊御見威脅情報中心通報了一起H2Miner黑產(chǎn)團(tuán)伙利用SaltStack漏洞控制服務(wù)器挖礦的入侵案例。

據(jù)悉，騰訊安全威脅情報中心于2020年05月03日檢測到H2Miner木馬利用SaltStack遠(yuǎn)程命令執(zhí)行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企業(yè)主機(jī)進(jìn)行挖礦。通過對木馬的核心腳本以及可執(zhí)行文件的對比分析，確認(rèn)了此次攻擊行動屬于挖礦木馬家族H2Miner。

據(jù)了解，H2Miner是一個linux下的挖礦僵尸網(wǎng)絡(luò)，通過hadoop yarn未授權(quán)、docker未授權(quán)、confluence RCE、thinkphp 5 RCE、Redis未授權(quán)等多種手段進(jìn)行入侵，下載惡意腳本及惡意程序進(jìn)行挖礦牟利，橫向掃描擴(kuò)大攻擊面并維持C&C通信。

騰訊安全威脅情報中心大數(shù)據(jù)統(tǒng)計結(jié)果顯示，H2Miner利用SaltStack漏洞的攻擊自5月3日開始，目前呈快速增長趨勢。H2Miner挖礦木馬運(yùn)行時會嘗試卸載服務(wù)器的安全軟件，清除服務(wù)器安裝的其他挖礦木馬，以獨(dú)占服務(wù)器資源。目前，H2Miner黑產(chǎn)團(tuán)伙通過控制服務(wù)器進(jìn)行門羅幣挖礦已非法獲利超370萬元。

Saltstack是基于python開發(fā)的一套C/S自動化運(yùn)維工具。近日，SaltStack被爆存在認(rèn)證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)，其中：

CVE-2020-11651：為認(rèn)證繞過漏洞，攻擊者可構(gòu)造惡意請求，繞過Salt Master的驗證邏輯，調(diào)用相關(guān)未授權(quán)函數(shù)功能，達(dá)到遠(yuǎn)程命令執(zhí)行目的。

CVE-2020-11652：為目錄遍歷漏洞，攻擊者可構(gòu)造惡意請求，讀取服務(wù)器上任意文件，獲取系統(tǒng)敏感信息信息。

快科技了解到，此次入侵導(dǎo)致不少CDN平臺服務(wù)商平臺出現(xiàn)故障，進(jìn)而導(dǎo)致多家網(wǎng)站訪問受到影響。

騰訊安全專家建議企業(yè)采取以下措施強(qiáng)化服務(wù)器安全，檢查并清除服務(wù)器是否被入侵安裝H2Miner挖礦木馬：

1、將Salt Master默認(rèn)監(jiān)聽端口(默認(rèn)4505 和 4506)設(shè)置為禁止對公網(wǎng)開放，或僅對可信對象開放。將SaltStack升級至安全版本以上，升級前建議做好快照備份，設(shè)置SaltStack為自動更新，及時獲取相應(yīng)補(bǔ)丁。

2、Redis 非必要情況不要暴露在公網(wǎng)，使用足夠強(qiáng)壯的Redis口令。

3、參考以下步驟手動檢查并清除H2Miner挖礦木馬：

kill掉進(jìn)程中包含salt-minions和salt-store文件的進(jìn)程，文件hash為a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb;

刪除文件/tmp/salt-minions、/tmp/salt-store;

將惡意腳本服務(wù)器地址217.12.210.192、206.189.92.32進(jìn)行封禁;

升級SaltStack到2019.2.4或3000.2，防止病毒再次入侵。

關(guān)鍵詞： 騰訊