首页
安全资讯
红帽先锋
提交漏洞
平台建设
安全情报
服务项目
平台管理
登录
注册
情报 >
详情
H2Miner挖矿木马利用XXL-JOB未授权命令执行漏洞攻击云主机
情报来源: 天际友盟
天际友盟
更新来源:
天际友盟
公开
恶意软件
软件和信息技术
TLP
公开
11
指示器
1
行业
80
评分
概述
腾讯最近检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。xx.sh模块作为入侵后源头执行脚本,会进一步拉取3个模块,分别为系统预加载模块libsystem.so,后门功能模块kinsing,下载工具curl,同时清理其他挖矿模块计划任务,将自身加入计划任务实现持久化。libsystem.so模块将被写入系统预加载配置项,作为服务启动。攻击脚本同时会清理其他挖矿木马创建的计划任务。kinsing模块以服务启动,运行后会不断循环,拉取任务等待执行。根据命令解析执行不同功能,分析可知该模块具备扫描,更新,命令执行,下载执行,执行http请求,redis爆破等功能。
参考信息
威胁情报平台
利用手段
木马后门
利用工具
H2Miner
威胁分布
指示器
序号
类型
指示器
描述
动作
国家
应对措施
(1)对相关指示器进行阻断;(2)安装杀毒软件并保证随时更新;