騰訊主機安全捕獲Ks3_Miner木馬通過爆破SSH入侵云服務器挖礦

騰訊主機安全捕獲Ks3挖礦木馬攻擊云服務器，攻擊團伙通過掃描網絡中大量開放的SSH服務，對其進行爆破攻擊。成功后植入挖礦惡意腳本進行門羅幣挖礦。因挖礦木馬主腳本名為ks3，騰訊安全將其命名為Ks3_Miner，騰訊安全全系列產品已支持對Ks3挖礦木馬的檢測和查殺。

中央廣播電視總臺攜手騰訊音樂推出首個國潮數字藏品:2月12日消息，中央廣播電視總臺與騰訊音樂合作發布「十二生肖冰雪總動員」數字紀念票。該套數字紀念票采用復古圓角邊框，配以優雅印戳，12 位生肖福娃與單板滑雪、短道速滑等冰雪運動巧妙結合，打造了具有中國特色的專屬紀念。據相關人士稱，該數字紀念票每張的左下角均印有唯一序列號并單獨上鏈存證，不僅為每位用戶打造出個人專屬紀念感，且在內容上比常規數字藏品更具獨特性，極具收藏價值。

該套數字紀念票共發行 12 款，每款售價 29.9 元，每款紀念票均限量發售 2000 份，發行總量為 24000 份，目前已在 QQ 音樂開放預約，2 月 15 日元宵節當日 17:00 正式開啟搶購。[2022/2/12 9:47:52]

該挖礦木馬作業時，會大量占用服務器資源，使云服務器無法提供正常的網絡服務。同時，該木馬也會結束其他挖礦木馬進程，刪除其他挖礦木馬文件，以獨占服務器資源。

騰訊安全：H2Miner木馬新變種利用Redis高危漏洞入侵云服務器挖礦:11月24日消息，騰訊主機安全（云鏡）捕獲H2Miner挖礦木馬最新變種，該變種利用Redis 4.x/5.x主從同步命令執行漏洞（CNVD-2019-21763）攻擊云服務器，檢測數據顯示該木馬活動有明顯增長。由于用戶將Redis默認端口6379暴露在公網且未使用強密碼認證，導致攻擊者入侵并通過Redis 4.x/5.x版本的主從同步功能執行任意代碼。H2Miner變種木馬入侵后會下載kinsingXXXXXXXXXX（10位隨機字符）木馬作為挖礦木馬kdevtmpfsi的維持進程，并且通過安裝定時任務持久化、通過SSH復用連接進行橫向移動感染。H2Miner挖礦木馬會占用大量CPU資源進行挖礦計算，可能導致業務系統崩潰，該挖礦木馬還會嘗試卸載云服務器的安全軟件。（騰訊威脅安全情報中心）[2020/11/24 21:59:07]

Ks3_Miner惡意代碼托管在ftp地址內，地址內除挖礦模塊外，還存在掃描工具、用于掃描的目標IP地址池超過1300萬個，以及反彈shell腳本。觀察其相關文件修改日期可知，該挖礦木馬最早于2020年6月已開始活動。

騰訊御見：GuardMiner挖礦木馬近期活躍，較多企業已中招:騰訊安全威脅情報中心檢測到跨平臺挖礦木馬GuardMiner近期十分活躍，該木馬會掃描攻擊Redis、Drupal、Hadoop、Spring、thinkphp等多個服務器組件漏洞，并在攻陷的Windows和Linux系統中分別執行惡意腳本，惡意腳本會進一步下載門羅幣挖礦木馬、清除競品挖礦木馬并進行本地持久化運行。因該病已具備蠕蟲化主動攻擊擴散的能力，近期已有較多企業中招。[2020/6/24]

Ks3挖礦木馬執行成功后，會嘗試進一步讀取機器內歷史登錄憑據信息進行橫向傳播擴散。同時在主機內留下用于后門操作的免密登錄配置項，添加名為.syslogs1q的后門賬戶，以方便后續繼續遠程登錄控制失陷主機。

Tags：INEMINERNERMINEethnographyinbusinesscrazyminernera幣今日情行Mines of Dalarnia

以太坊