专栏首页FreeBuf年末将至,Mirai挖矿致使机器不休假

年末将至,Mirai挖矿致使机器不休假

近日,深信服安全团队基于SIP产品在国内发现一种新型的Mirai变种,该变种会进行门罗币挖矿并且通过SSH爆破来实现传播。

整个流程如下:

0x01 系统调用下载器

然后我们分析一下另一个程序DDG这个文件,这个文件就是一个下载器,下载母体。

该程序使用了大量的内联汇编,通过系统调用来实现下载的功能,容量体积更小,减少了被杀软引擎识别的风险。具体的系统调用可以在https://syscalls.kernelgrok.com/查询。

我们使用strace来观察一下这个程序的行为,连接了5.63.159.203下载母体文件dl

0x02 多功能变种Mirai母体

该Mirai母体已被多家引擎识别。

跟踪一下母体的行为。

程序将通过系统调用unlink将自身给删除了,这里说明一点,母体会一直运行,所以遇到这种找不到文件,但是母体还在运行的程序,可以通过查找PID, 然后进入/proc/PID/ 目录下,找到exe,使用cat /proc/PID/exe >> mom_exe,可以拿到母体文件,如果直接将母体进程干掉,就拿不到这个文件了。本例有拿到下载器,所以可以通过下载器下载。

检查是否存在重启信号设备watchdog(看门狗),如果检测到则修改权限,让watchdog失效

然后检测同行的比特币挖矿软件,通过使用md5来识别。

将http, https, ftp的代理信息写入.bashrc文件中。

下载挖矿软件到/tmp目录并且执行,挖矿软件的名称采用随机字符串的方式,长度不固定

可以看到创建了一个随机端口监听,等待连接,并且开启了一个ssh暴力破解攻击其他主机,实现传播,被攻击的为内网IP和随机生成IP。

清除用户的计划任务

并且程序拥有着守护挖矿进程的能力,当把挖矿进程直接杀掉,母体会重新下载挖矿病毒并运行,所以这里是导致出现病毒文件再次出现,但是并没有运行的原因。

拥有着一个基本所有功能的Mirai,功能太过复杂,使用超多的fork和syscall汇编内联代码。

增加分析人员的分析难度。

0x03 挖矿程序

同样也被各大引擎识别了,这个是门罗币(XMR)挖矿,XMR由于匿名性被黑产热爱。

strace看一下程序的运行流程,连接矿池,发送任务,接受任务结果

首先通过gulf.moneroocean.stream这个地址登录矿工的信息,钱包等,然后连接矿池xmr.crypto-pool.fr(139.99.100.250)进行挖矿

我们抓取了一些数据包,可以发现程序通信的挖矿数据

我们可以看到一次完整的挖矿通信的数据

0x04 分析结论

该程序经过测试,在执行病毒母体后,重启之后并不会再次出现感染情况。上次的重启重新下载了出现病毒文件初步估计是没有清理干净,清理顺序的问题。

挖矿信息:

矿工信息验证地址:gulf.moneroocean.stream 矿池地址:xmr.crypto-pool.fr 钱包地址:489nAwmiY4s8X95kvPDVvUaHsqmrs1NwsVKoBbqKftYzDAQJVUryJwJ7WMKansCeowe4vxg42p9VtbDKTPxkKp1pUXTnA5X 86V42mJ86Dg5uw9TYLWairZrjkhK1LkkiaAyDHeLTJhfEi1c9XbFPTHLCJWtM12Sv16P9aM6U64Ekc9drZ8or55Y3SqqiQK

IOC(MD5):

挖矿:04e28bfd6f7e58701a7654d53d279100 下载器:d530cab45f1234ce35c0b56689516f42 Mirai母体:9c699434f72e798ac42f72a82a30f997

0x05 解决方案

清除方式:

将母体的所有进程先全部使用kill -9 强行杀死

然后到/tmp目录下将挖矿文件删掉(如果母体文件dl还在,也将母体文件删除)

然后使用kill -9 将挖矿进程干掉。

病毒检测查杀:

1、深信服EDR产品、SIP产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

病毒防御:

1、修补相关的web漏洞,防止被再次入侵。 2、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。 3、病毒通过ssh传播,如果可以,可以将ssh的密码登录方式换成密钥登录。可防止ssh爆破传播。

全世界的安全研究专家们经常都需要对恶意软件来进行逆向工程分析,这样才能更加清楚地了解到网络攻击者的攻击方式以及真正意图。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:千里目安全实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • SSH僵尸主机挖矿木马预警

    XMR(门罗币)是目前比特币等电子货币的一种,以其匿名性,支持CPU挖矿,以及不菲的价格等特点,得到了“黑产”的青睐。瀚思科技挖掘出黑产利用互联网服务器进行挖矿...

    FB客服
  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火...

    FB客服
  • 【新手指南】如何用Ettercap实现“中间人攻击”(二):HTTP数据劫持

    作为《新手指南:如何用Ettercap实现“中间人攻击”》工具介绍的续篇,本文以某知名下载网站为例,从实战角度出发,分析交互过程,逐步介绍了利用Etterca...

    FB客服
  • Go进阶49:HTTP断点续传多线程下载原理

    一个比较常见的场景,就是断点续传/下载,在网络情况不好的时候,可以在断开连接以后,仅继续获取部分内容. 例如在网上下载软件,已经下载了 95% 了,此时网络断了...

    mojocn
  • Neo4J:批量导入neo4j-admin import

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    程裕强
  • Golang语言社区-并发模型和应用场景

    Golang语言社区-并发模型和应用场景 生成器 在Python中我们可以使用yield关键字来让一个函数成为生成器,在Go中我们可以使用信道来制造生成器...

    李海彬
  • Vue.js命名风格指南

    本命名风格指南推荐了一种统一的命名规范来编写 Vue.js 代码。这使得代码具有如下的特性:

    Daotin
  • 2014年科技界的十五大败笔

    大数据文摘
  • Python生成器/生成器函数/推导式/

        1. 通过生成器函数     2. 通过各种推导式来实现⽣成器     3. 通过数据的转换也可以获取生成器

    py3study
  • 听云SDK发布《2017中国云计算评测报告》,一文读懂所有云服务的优劣势

    听云发布《2017中国云计算评测报告》,本次报告从用户视角出发,对各家云服务提供商的综合用户体验、性能与可用性以及服务与易用性这三个方面进行了盘点,凸显出各家云...

    BestSDK

扫码关注云+社区

领取腾讯云代金券