庄闲游戏

关于庄闲游戏

前往相识庄闲游戏

成为相助同伴

成为相助同伴

相助同伴能力中心

相助同伴能力中心

相助同伴系统

相助同伴系统

庄闲游戏智算一体机

以“算力硬件平台+智算平台”为基座，，，，集成DeepSeek大模子，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

前往相识庄闲游戏

咨询与试用

售后效劳

清静通告

清静误差响应中心

庄闲游戏智算一体机

以“算力硬件平台+智算平台”为基座，，，，集成DeepSeek大模子，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

关于庄闲游戏

前往相识庄闲游戏

关于庄闲游戏

品牌运动

新闻中心

新闻中心

诚聘英才

诚聘英才

联系庄闲游戏

联系庄闲游戏

庄闲游戏智算一体机

以“算力硬件平台+智算平台”为基座，，，，集成DeepSeek大模子，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

清静云效劳

新闻中心

Hezb挖矿木马来袭！庄闲游戏多款产品精准防御~

宣布时间：2022-07-11

浏览次数：3987

分享：

Hezb先容

克日，，，，庄闲游戏天璇实验室捕获到Hezb挖矿木马。。。Hezb挖矿木马首次泛起于2022年5月，，，，可通过 WSO2 RCE (CVE-2022-29464)和 Confluence OGNL（CVE-2022-26134）误差举行撒播，，，，向Windows、Linux平台植入挖矿木马程序，，，，使用目的系统资源举行挖矿运动，，，，挖矿币种主要是门罗币（XMR）。。。上述两种误差均属于第三方软件误差，，，，以是针对效劳器的撒播几率较大，，，，严重危害效劳器资源，，，，影响营业运行。。。

挖矿木马可通过种种手段将挖矿程序植入受害者的盘算机中，，，，在用户不知情的情形下，，，，使用其盘算机的运算力举行挖矿，，，，从而获取不法收益。。。现在庄闲游戏天璇实验室已剖析提取出Hezb木马的挖矿行为特征，，，，庄闲游戏入侵检测系统（TopSentry）新版本、庄闲游戏僵尸网络木马和蠕虫监测与处置惩罚系统（TopTVD）以及庄闲游戏EDR、过滤网关等产品?可对该木马的挖矿运动精准检测，，，，庄闲游戏入侵防御系统（TopIDP）新版本可对该木马的挖矿运动举行防御阻断，，，，有用避免危害进一步扩散。。。

样本信息

矿池及钱包地点：

凭证矿池地点纪录，，，，现在，，，，该钱包现在平均算力约150KH/s。。。

样天职析

本次捕获到的Hezb挖矿木马样本shell、PowerShell和bat剧本长达一千余行，，，，支持Windows和Linux系统，，，，提供的功效很是完善，，，，例如：从SSH密钥、历史纪录和设置文件等位置获取凭证、删除注册表自启动项内容、使用CVE-2021-4043误差提权、扫描Confluence误差、删除挖矿竞争敌手的历程等。。。

Windows平台

kill.bat：

竣事目今系统的其他挖矿历程，，，，竣事%TEMP%和%APPDATA%目录下名为network02.exe的程序，，，，删除注册表自启动下的“Run2”和“Run”。。。

检测目今系统下是否保存挖矿程序。。。

从效劳器202.28.229.174/win/目录下获取mad.bat剧本举行执行。。。

mad.bat：

为MoneroOcean mining初始默认剧本，，，，其中包括攻击者的钱包地点和其他载荷的下载目录。。。

获取CPU频率、焦点数、缓存巨细等信息，，，，并通过公式计获得EXP_MONERO_HASHRATE（每秒可执行哈希量）。。。

使用EXP_MONERO_HASHRATE进一步盘算获得PORT，，，，PORT将会作为后续挖矿时的端口号。。。

在用户目录下天生挖矿日志信息。。。

在http://202.28.229.174/win/目录下下载7za.exe和dom.zip。。。

使用7za.exe解压缩dom.zip。。。

若是dom.zip压缩文件中保存dom.exe，，，，修改挖矿设置文件中的矿池、钱包、用户名、密码等信息。。。

若是不保存dom.exe，，，，则从http://202.28.229.174/win/ 目录下下载7za.exe和dom-6.zip,使用7za.exe解压缩dom-6.zip。。。

建设miner.bat，，，，在剧本中写入运行dom.exe下令，，，，放到系统启动目录下实现长期化。。。

使用dsm.exe建设效劳启动dom.exe，，，，设置线程优先级。。。

dom.zip和dom-6.zip压缩包中的dom.exe都是接纳开源挖矿程序XMRig编译而成，，，，其使用的矿机版本都为：XMRig 6.16.2。。。

XMRig编译后如下图所示。。。

Linux平台

ap.sh：

设置样本下载网站以及curl工具下载地点，，，，设置curl工具参数等。。。

竣事市面上常见的挖矿程序。。。

卸载海内阿里云效劳器上的默认清静软件。。。

设置矿池地点，，，，执行ap.txt剧本以及挖矿程序并重新命名为hezb。。。

搜索并匹配SSH密钥、历史纪录和设置文件路径为：

/.ssh/config，，，，.bash_history，，，，/.ssh/known_hosts

找到与其相对应的身份验证的信息，，，，检查：

~/.ssh/config、~/.bash_history和.ssh/known_hosts搜集信息，，，，通过SSH举行实验毗连。。。

从http://202.28.229.174下载二进制文件kik并执行。。。

ap.txt：

审查目今历程是否保存hezb，，，，若是没有，，，，重新下载ap.sh剧本并执行。。。

ldr.sh：

ldr.sh与ap.sh剧本概略代码相同，，，，只有矿池地点和钱包地点有所差别，，，，下载的文件名称为kthmimu.txt，，，，与ap.txt内容相同。。。推测该剧本为ap.sh的升级版本或测试版本。。。

Ko：

该二进制文件经由搜索字符串特征判断为CVE-2021-4034误差使用程序，，，，乐成使用误差后会使外地权限提升。。。

kik：

kik 是一个静态链接的64位Golang ELF二进制文件。。。此二进制文件实验匹配特定值，，，，同时扫除其他值并将效果值通过管道转达给“kill -9”。。。这是在一个循环中执行，，，，将“下令执行乐成”打印到标准输出。。。

下载的主体挖矿程序为sys._x86_64重命名为hezb,是用开源挖矿程序XMRig6.16.4版本改编编译而成，，，，自己命名为6.16.5版本。。。

防护建议

1、实时更新WSO2和Confluence补丁可阻止熏染该挖矿木马。。。

2、已购置庄闲游戏僵尸网络木马和蠕虫监测与处置惩罚系统（TopTVD）、庄闲游戏入侵检测系统（TopSentry）新版本、庄闲游戏入侵防御系统（TopIDP）新版本的客户，，，，可以升级僵尸主机规则库举行有用监测防护。。。

僵尸主机规则库版本号：

ngtvd-v2022.07.11.001

下载地点：

ftp://ftp.topsec.com.cn/庄闲游戏下一代入侵防御系统(NGIDP)/僵尸主机规则库/ngtvd-v2022.07.11.001.tor

产品咨询

您可以上岸庄闲游戏官网盘问相识庄闲游戏入侵防御系统、庄闲游戏入侵检测系统、庄闲游戏僵尸网络木马和蠕虫监测与处置惩罚系统，，，，也可拨打客服热线400-777-0777举行产品咨询。。。

要害词标签：: 庄闲游戏 Hezb挖矿木马 精准防御 入侵防御系统

上一篇庄闲游戏首批入选信通院“营业清静推进妄想”成员单位，，，，实力入围全景图20大�？？？�

下一篇庄闲游戏“数据出境自评估和防护利器”让数据出境更清静！

最新运动

第4个十年庄闲游戏致力于成为中国领先的网络清静与智算云解决计划提供商！

2025-03-28

连忙审查

相助动态庄闲游戏与华为正式开启周全相助，，，，联合宣布“智算+清静”两大新品！

2025-03-31

连忙审查

推荐新闻

庄闲游戏防火墙一连25年连任海内市场第一

审查详情

庄闲游戏李雪莹荣获“北京市三八红旗奖章”，，，，以科创“她实力”诠释巾帼继续

审查详情

庄闲游戏重磅宣布智算一体机

审查详情

荣耀绽放！庄闲游戏2024年度优异表扬颁奖仪式纪实

审查详情

庄闲游戏一连五届入选CICSVD国家工业信息清静误差库手艺组成员单位

审查详情

庄闲游戏智算一体机首批通过工信领域能力认证！

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云效劳支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静效劳>

客户效劳热线

400-777-0777
7*24小时效劳

联系邮箱

servicing@topsec.com.cn

扫码关注

【网站地图】【sitemap】