全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

编辑:黑客与极客2020-02-21 10:06:52 关键字:bash,变种,文件,进程,代理,挖矿,全勤,命令,功能,恶意,进程,文件,Yarn,命令,unix

原标题:全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

感染现象

被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

查看进程对应的可执行文件,是以一串疑似MD5的字符命名(并非文件真实MD5),但已经被删除:

通过crontab –l命令可以看到可疑的定时任务:

定时任务对应的sh脚本内容为base64编码过的命令:

病毒母体-int

该ELF文件是作为病毒的母体和守护进程,运行后会将自身进程名重命名为一个随机的字符串:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

删除自身对应的可执行文件:

解码并创建目录/tmp/.X11-unix,检测目录中是否存在00文件,该文件是用于记录进程的pid:

创建子进程:

通过setsid,将子进程脱离当前会话并且创建新的会话

并将新的会话进程ID写入/tmp/.X11-unix/00文件:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

执行base64编码的bash命令,共有5个不同的bash命令,分别用于下载不同模块和执行不同的功能:

bash-01 本机持久化

解码后的内容如下,功能是用于创建定时任务.xzfix.sh:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

定时任务的内容解码后如下,功能为下载int文件:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

bash-02 内网传播

主要功能为下载脚本卸载安防产品(其中阿里云的安骑士、腾讯云的云镜等产品):

下载可执行文件trc和bot:

其中trc文件用于Hadoop Yarn未授权访问漏洞利用,运行时会将自身进程ID写入/tmp/.X11-unix/2文件中:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

获取当前所有的节点,并且对本地网络进行漏洞攻击

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

其漏洞执行命令如下,该命令会下载病毒程序hd进行进一步感染:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

除漏洞利用外,该挖矿木马还会通过ssh暴力破解进行内网传播:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

利用运维工具(ansible、knife、salt)对内网服务器进行批量感染,利用ssh远程执行命令,命令通过base64解码后是下载病毒母体int:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

bash-03 竞争对手清理

清除服务器上其他的挖矿木马,改写hosts文件让其他挖矿无法访问对应的域名,以达到独占的目的:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

bash-04 下载挖矿

下载可执行文件cpu:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

该文件为挖矿程序:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

bash-05 状态控制

下载cmd脚本:

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

cmd脚本中的命令功能是当主机网络无法连接到矿池时,会结束掉自身的挖矿进程,增强隐蔽性:

解决方案

1. 服务器使用复杂密码,且避免与其他密码重复;

2. 如无必要,不要将接口开放在公网,改为本地或者内网调用;

3. 升级Hadoop到2.x版本以上,并启用Kerberos认证功能,禁止匿名访问;

4. 清理随机字符名的可疑进程和高CPU占用进程;

5. 清理恶意定时任务,删除/tmp/.X11-unix目录。

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM

责任编辑:

相关文章
6月中国厂商出海收入30强榜单公布:腾讯排名下滑 掌趣科技、易幻网络跌出榜单

6月中国厂商出海收入30强榜单公布:腾讯排名下滑 掌趣科技、易幻网络跌出榜单

中国网科技7月30日讯(记者 李婷)市场研究机构App Annie近日发布2020年6月中国厂商出海收入30强榜单,FunPlus(趣加)取代[详情]

凯迪拉克怎么了?

凯迪拉克怎么了?

题图:GM authority随着 2020 年新冠疫情逐步趋稳,很多事已经没法再让疫情背锅了。先是跌入谷底,再是触底回升,上半年国内汽[详情]

运载火箭可用固体燃料 美再为韩国研制弹道导弹“松绑”

运载火箭可用固体燃料 美再为韩国研制弹道导弹“松绑”

据韩联社首尔7月28日报道,韩国7月28日宣布,根据与美国达成的新导弹指南,该国已能研发使用固体推进剂的火箭。他在新闻发布[详情]

意大利餐厅服务员确诊 追踪发现某些顾客留假信息

意大利餐厅服务员确诊 追踪发现某些顾客留假信息

欧联网7月30日电,据欧联通讯社报道,意大利坎帕尼亚大区卫生部门28日通报,当日该地区新增确诊病例29例,那不勒斯省维科·埃[详情]

元晟溱:柯洁很有才能 他与李世石风格相似却不同

元晟溱:柯洁很有才能 他与李世石风格相似却不同

韩国棋手元晟溱九段  据韩国乌鹭网报道,韩国棋手元晟溱在10多岁的时候就已经达到了世界超一流棋手的水平。在20岁中期[详情]

contact us

Copyright     2018-2028   All rights reserved.