H2Miner
提防程度★★★
影响平台:Windows/Linux
病毒执行体描述
功击者借助漏洞入侵Windows平台和Linux平台。在Windows平台中,进犯主机下载并执行wbw.xml的XML文件,在XML文件中执行一段PowerShell命令,下载名为1.ps1的脚本,该脚本下载挖矿程序以及挖矿的配置文件并重命名执行,创建计划任务每30分钟执行一次1.ps1脚本,实现持久化常年留驻进犯主机;在Linux平台中,进犯主机下载并执行名为wb.xml的XML文件,该XML文件使用同样的手法内嵌了一段bash脚本,执行后下载挖矿脚本,主要功能包括去除竞品挖矿程序和计划任务、MD5校准、卸载安全软件和下载Kinsing恶意软件并执行等。Kinsing恶意软件除了具有挖矿功能,就会在溃退主机上开放侧门以及masscan端口扫描等功能,联接C2服务器上传版本号、内核数目、内存信息、操作系统信息、是否获得Root权限和Uuid等信息,并会下载后续脚本进行纵向联通等。
Windows平台传播途径
在Windows平台中,功击者向被害主机发送一个构造好的数据包,将该数据包中的可执行代码部份架设在远程服务器的XML文件中,当漏洞借助成功后,被害主机都会访问功击者架设远程服务器的XML文件,并解析执行。
Linux平台传播途径
Linux平台传播与Windows平台传播途径一样,同样向被害主机上发送构造好的数据包,将该数据包中的可执行代码部份架设在远程服务器的XML文件中,当漏洞借助成功后,被害主机都会访问功击者架设远程服务器的XML文件linux 电子书,并解析执行。
按照功击风波对样本进行梳理得到如下信息:
Windows样本剖析
1.ps1
定义门罗币挖矿程序地址和配置文件的下载路径以及保存路径和挖矿程序名等信息:
下载挖矿程序,并将挖矿程序保存在TMP目录下,并重命名为sysupdate.exe。
下载挖矿配置文件,并将配置文件保存在TMP目录下,并重命名为config.json。
更新程序和创建计划任务,创建名为UpdateserviceforWindowsService的计划任务,无限期地每隔30分钟重复一次。该计划任务使用PowerShell执行1.ps1脚本。
配置文件config.json
配置文件中有5个矿池地址,皮夹地址均为4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC,以下为配置文件中部份内容:
Linux样本剖析
md.sh
下载两个脚本文件,两个脚本文件的作用是卸载被感染主机上的安全软件。
去除竞品的挖矿程序。
去除竞品的计划任务。
kinsing恶意软件
挖矿
样本执行后,会在tmp目录下创建名为kdevtmpfsi的挖矿程序并执行。
侧门功能
该侧门代码可以实现在主机上执行任意命令。
masscan扫描
创建名为firewire.sh的脚本文件,该脚本文件中外置了一个MD5哈希值,该哈希值经验证,为masscan扫描器。masscan是一个高性能的端口扫描器,它的功能类似于nmap工具。
C2通讯
恶意软件通过HTTP与C2服务器进行通讯,进犯主机会恳求发送系统状态和系统资源信息,比如内核数目、内存信息、操作系统信息、是否获得Root权限和UUID等。所有那些参数都使用自定义HTTP头发送给C2服务器。
进犯主机不断通过get恳求C2服务器,Sign数组为服务器响应后传递的恶意Shell脚本。
进犯主机会使用/mg对C2服务器进行恳求,C2服务器会响应几个字符,进犯主机使用JSON-RPC的方式通过HTTP发送主机信息。
下载cron.sh脚本,功能是结束竞品挖矿程序。
下载spre.sh脚本,脚本会从/.ssh/config,.bash_history,/.ssh/known_hosts进行搜索和匹配,来发觉功击目标,并找到与其相对应的身分验证的信息,检测~/.ssh/config、~/.bash_history和.ssh/known_hosts尝试进行纵向联通等操作。
关联剖析
通过关联剖析,我们找到该组织的资产上另一个脚本文件xx.sh,xx.sh的功能是从194.38.20.199/libsystem.so处下载名为libsystem.so的Rootkit以及其他恶意软件。之后其他脚本将该Rootkit预加载到/etc/ld.so.preload。
该脚本还注册一个定期重新感染主机的系统服务来持久化。
防治和消除:
不要点击不明网站;打开不明电邮附件;定时常常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能,关掉容许远程联接笔记本的功能。安装最新的系统补丁。
Trojan.Linux.MINER.C
提防程度★★★
影响平台:Linux
病毒执行体描述
近期linux 网络游戏,查获了DDG挖矿木马的最新变种文件,此变种主要针对云主机,在往年版本的基础上嵌套了一层elf释放病毒shell脚本,该变种就会中止竞品挖矿,达到独占系统资源挖矿的目的。其命名为:Trojan.Linux.MINER.C。
病毒本体为elf文件:
使用readlink读取自身进程文件所在路径:
揭秘资源中的shell代码,其中揭秘后代码均为base64加密的shell:
在文件夹.X11-unix中创建01文件,此文件用于后续运行shell后储存病毒进程pid:
最后执行揭秘的shell:
第一段shell揭秘:
此脚本为挖矿程序的守护进程,主要用于监控挖矿程序是否正在运行,若停止运行则下载挖矿程序。
此脚本使用don解析域名,通过tor代理下载挖矿,和其他变种一样主要作用为绕开各大安全厂商的IDS防御。
判定挖矿程序是否运行的方式如右图所示,通过获取.x11-unix/01中记录的挖矿进程来判定是否正在挖矿,若不存在此pid会重新启动一个挖矿:
此脚本第一行20ossFopossFop88vsbHvsbHvsbH1fjszMJoolZE2929S为shell文件保存在本地的文件名以及相关计划任务:
打开后发觉就是此脚本:
第二段shell脚本和第一个shell脚本基本一致。
第三段shell脚本主要用于删掉竞品挖矿病毒。
过删掉同类竞品挖矿病毒的计划任务以及文件,以达到独占系统资源的目的。我们在其中发觉了unix.db变种,亚信安全早在2020年中早已捕获到此变种
结束与以下外联相关的进程:
删掉竞品挖矿的shell文件并结束系统中高占用cpu的进程。
结束带有以下字符串的进程,其中kthreadi等进程也是linux中常见的挖矿病毒。
第四段shell为传播模块,以及结束一些云主机的服务。
结束云主机相关的服务和文件。
knifessh在所有的节点上调用SSH命令linux 网络游戏,命令揭秘后即为第一段shell
使用saltstack的cmd.run模块对下属机器统一执行挖矿。
借助pssh传播
获取通信过的hosts,并尝试联接。
在联接远程主机时不会显示交互式口令输入,会主动把对方的私钥加到known-hosts中,而不会提示用户是否要记录这样的信息,且当远程主机的私钥变化了,依然会联接上linux串口驱动,不会出现由于私钥不对联接失败。
ansibleall-mshell-a登陆其他主机传播:
防治和消除:
不要点击不明网站;打开不明电邮附件;定时时常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库手动更新功能。关掉笔记本共享功能,关掉容许远程联接笔记本的功能。安装最新的系统补丁。
垂钓网站提示:
1、假冒亚马逊类垂钓网:
害处:套取用户邮箱帐号及密码信息。
2、假冒PDF类垂钓网:
害处:套取用户帐号及密码信息。
3、假冒Paypal类垂钓网:
害处:套取用户帐号及密码信息。
4、假冒腾讯游戏类垂钓网站:
害处:套取用户信用卡号及密码信息。
5、假冒Gmail类垂钓网站
害处:套取用户邮箱帐号及密码信息。
切勿打开类似上述网站,保持计算机的网路防火墙打开。
以上信息由天津市网路与信息安全应急管理事务中心提供
