股票代码:688225
Menu

产品全景图 >

云安全
终端安全
高级威胁治理
网络与通信安全
安全管理
身份安全
数据安全
态势感知
工业安全
信息技术应用创新
SaaS服务

安全服务 >

安全运营 >

云安全
信舱云主机安全【DeepSecurity】
信池云安全管理平台【AISDSEC】
终端安全
TrustOne新一代终端安全
高级威胁治理
信桅高级威胁监测系统【TDA】
信桅高级威胁分析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信桅蜜罐系统【AISBIG】
信池统一安全管理平台【UAP】
网络与通信安全
信舷网络威胁入侵防护系统【AISTPS】
信舷防毒墙【AISEDGE】
信舷防火墙系统【AISFW】
信桨网络流量审计分析系统【SpiderFlow】
信舷抗拒绝服务系统【AISADS】
信舷网页防篡改系统【AISWD】
信舷安全隔离与信息交换系统【AISIES】
域名服务和地址分配及管理系统【DDI】
DNS全业务域名解析系统【AISDNS】
集中IPoE接入认证系统【AISDHCP】
信磐互联网接入认证系统【AISOBS】
信舷上网行为审计系统【AISACG】
信舷WEB应用防火墙系统【AISWAF】
安全管理
日志审计分析系统【AIRDS】
漏洞扫描系统【SpiderScan】
身份安全
信磐堡垒机【AISIFORT】
信磐零信任访问控制系统【AISDP】
信磐统一身份认证与访问管理系统【AISIAM】
数据安全
信数多方计算平台【AISMPC】
信数数据库访问控制【AISDBAC】
信数数据库防火墙【AISDBFW】
信数数据脱敏系统【AISDM】
信数数据库审计系统【AISDBA】
信数数据安全治理平台【AISDSG】
态势感知
信舵安全管理与分析平台【MAXS】
工业安全
信桨工控防火墙【ICFireWall】
信桨工业流量审计分析系统【ICFlow】
信桨工业主机安全加固【ICHost】
信桨工业安全管理平台【ICSMP】
信桨工业安全隔离与信息交换系统 【ICGAP】
信桨工业运维安全管理与审计系统【ICOPS】
信桨工控等保检查工具箱【ICSI】
信息技术应用创新
信创DHCP系统
信创DNS全业务域名解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用防火墙系统
信创防火墙系统
SaaS服务
天穹共享免疫SaaS系统【ImmunityOne】
安全运营
MSS托管安全运营
热点推荐
<
|
>
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

威胁Xin解析 | 亚信安全起底Kinsing挖矿木马家族
发布时间 :2021年11月03日
分享:

9-1.jpg


01.jpg

Windows样本---PowerShell文件


一、该家族文件1.ps1恶意样本,主要包含了以下内容:


1.设置门罗币的挖矿程序和矿机配置文件的下载路径和保存路径,并连接主机进行下载:


11.jpg

图:样本中文件下载地址和文件存储路径



2.设置定时,并检查矿机程序是否启动,如未启动,则重新执行脚本文件。


12.jpg

图:样本的定时任务


二、矿机配置文件---json文件


该文件主要是对挖矿程序进行配置,主要包含了矿池地址,挖矿的钱包等相关信息,从文件中可以看出,该家族利用了不同的挖矿地址,但是使用的是同一个门罗币钱包。


13.jpg

图:样本中设置的钱包地址和矿池地址


三、 Linux平台样本---Shell文


Linux的恶意脚本wb.sh在功能上并没有特别多的变化,其主要的变化则是更新C2服务器地址。该恶意脚本的主要功能为:卸载主机的安全软件阿里云骑士和腾讯云镜;清除挖矿竞品;扫描端口,并结束占用该端口的进程;下载执行恶意木马Kinsing;将自身添加到计划任务。


在运行Kinsing脚本之前,该脚本首先会检查Kinsing程序是否存在,并校检文件的MD5,如果Kinsing不存在时或MD5不正确时,则会连接指定的URL(包括第三方代码托管网站)下载Kinsing文件:


14.jpg16.jpg

图:shell文件中的Kinsing下载函数


今年7月份开始Kinsing家族再次开始活跃,所捕捉到的新变种与老版本之间并没有太多的变化,主要则是更改了文件中的后门地址以及相关的文件名。此外,改样本还增加了几行代码用于清除新的竞品挖矿程序。


值得注意的是,通过在VT上对相似文件的检索以及分析,可以发现,该家族的脚本命名不是固定的。其命名规则按照英文字母a-z为基础,进行命名。


四、挖矿恶意脚本---Kinsing


在所搜集到的文件中,可以发现Kinsing及其变种(Salt-store),文件的大小都保持在15-16MB之间。对样本进行IDA反编译,可以看出样本包含有关于挖矿相关的函数,并且通过main函数调用。

17.jpg

图:Kinsing内部的函数


同时,Kinsing和salt-store感染主机并运行后,首先也会向C2请求并确认钱包地址。此外,在对样本进行分析时,可以发现该Kinsing样本中包含大量的与Hamlet相关的数据内容。通过深入挖掘分析可以发现,该内容是由于样本所调用的函数导致的。


五、横向移动脚本---spre.sh


首先,脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配,来发现攻击目标,并找到与其相对应的身份验证的信息。


18.jpg

图:横向移动脚本所搜集的身份验证信息


接着,利用收集到的信息,恶意脚本尝试通过SSH连接到每个主机,使用每个可能的用户和密钥组合进行爆破登陆,以便在网络中的其他主机或容器上下载和运行shell脚本。脚本使用以下SSH命令用于在网络中传播H2Miner:


19.jpg

图:横向移动脚本中的SSH命令


61.jpg

通过样本分析来看看Kinsing如何通过Hamlet伪装自己。



21.jpg

图:样本中存在大量的数据内容,在IDA反编译中的数据占比显示


22.jpg

图:Kinsing文件中的Hamlet


经过分析,该部分内容由下列函数进行调用:


Apache

github_com_markbates_pkger_internal_takeon_github_com_markbates_hepa_filters


31.jpg

图:Kinsing样本调用hamlet的函数

 

在GitHub上搜索该项目:GitHub - markbates/pkger at v0.12.7,可以发现在相应路径下,Hamlet作为常量而被编译到整个项目,如图所示。通过文档可以知道,该项目的主要功能是,帮助代码作者将静态资源文件打包进二进制文件,如一些配置文件,图片,样式表等。


41.jpg

图:github项目中的Hamlet


此外,对样本的网络流量进行检测时,也同样发现了该特征:


51.jpg

图:PCAP包中的Hamlet

 

然而,值得注意的是,该github项目在0.12.8之后的版本中,已经删除了该哈姆雷特的内容。


一、文件

? linux:

/etc/Kinsing

/tmp/Kinsing

/var/tmp/Kinsing

/dev/shm/Kinsing

/etc/kdevtmpfsi

/tmp/kdevtmpfsi

/var/tmp/kdevtmpfsi

/dev/shm/kdevtmpfsi

/etc/libsystem.so

? Windows:

TMP\sysupdate.exe

TMP\config.json

TMP\update.ps1

TMP\salt-store

 

二、进程

Kinsing

kdevtmpfsi

salt-store

上一篇:勒索软件防不住的后果:你被炒了!

下一篇:威胁周报 | 伊朗加油站因遭到网络攻击而停止服务

返回列表
分享到微信
X