近日,8087金沙娱场城截获了DDG挖矿木马的最新变种文件,此变种主要针对云主机,在以往版本的基础上嵌套了一层elf释放病毒shell脚本,该变种还会终止竞品挖矿,达到独占系统资源挖矿的目的。8087金沙娱场城将其命名为:Trojan.Linux.MINER.C。
8087金沙娱场城病毒码版本17.131.60,云病毒码版本17.131.71,全球码版本17.131.00已经可以检测,请用户及时升级病毒码版本。
使用readlink读取自身进程文件所在路径:
解密资源中的shell代码,其中解密后代码均为base64加密的shell:
在文件夹.X11-unix中创建01文件,此文件用于后续运行shell后存放病毒进程pid:
最后执行解密的shell:
第一段shell解密:
√ 此脚本为挖矿程序的守护进程,主要用于监控挖矿程序是否正在运行,若停止运行则下载挖矿程序。
√ 此脚本使用 doh 解析域名,通过 tor 代理下载挖矿,和其他变种一样主要作用为绕过各大安全厂商的IDS防御。
√ 判断挖矿程序是否运行的方法如下图所示,通过获取.X11-unix/01中记录的挖矿进程来判断是否正在挖矿,若不存在此pid会重新启动一个挖矿:
√ 通过对比8087金沙娱场城以前捕获的同种类的挖矿,我们发现其代码逻辑基本一致,均是在当前用户下通过tor获取挖矿病毒的本体,挖矿程序会根据系统的架构下载,例如int.x86_64。
√ 此脚本第一行2OossFop8vSbHI1fjSzMJoolZfE29S为shell文件保存在本地的文件名以及相关计划任务:
打开后发现就是此脚本:
第二段shell脚本和第一个shell脚本基本一致。
第三段shell脚本主要用于删除竞品挖矿病毒。
√ 通过删除同类竞品挖矿病毒的计划任务以及文件,以达到独占系统资源的目的。我们在其中发现了unix.db变种,8087金沙娱场城早在2020年中已经捕获到此变种。
√ 结束与以下外联相关的进程:
√ 删除竞品挖矿的shell文件并结束系统中高占用cpu的进程。
√ 结束带有以下字符串的进程,其中kthreadii等进程也是linux中常见的挖矿病毒。
第四段shell为传播模块,以及结束一些云主机的服务。
√ 结束云主机相关的服务和文件。
√ knife ssh在所有的节点上调用 SSH 命令,命令解密后即为第一段shell。
√ 使用saltstack的cmd.run模块对下属机器统一执行挖矿。
√ 利用pssh传播:
√ 获取通讯过的hosts,并尝试连接。
在连接远程主机时不会显示交互式口令输入,会主动把对方的公钥加到known_hosts中,而不会提示用户是否要记录这样的信息,且当远程主机的公钥变化了,仍然会连接上,不会出现因为公钥不对连接失败。
√ ansible all -m shell -a登录其他主机传播:
运行cat /tmp/.X11-unix/01查看正在运行的病毒程序的pid,进程名为随机字符串;
运行ps -elf|grep [pid]查看相关守护进程pid;
使用kill命令停止以上进程;
删除相关计划任务;
重启机器。
在/etc/hosts中屏蔽相关域名,例如:127.0.0.1 tor2web[.]in
及时更新病毒码版本;
默认情况下禁止宏运行;
打开系统自动更新,并检测更新进行安装;
不要点击来源不明的邮件以及附件,邮件中包含的链接;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口及网络共享。
MD5: cfbe06f5b776a1307497a95847dba400