专栏首页FreeBuf全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。

感染现象

被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符:

查看进程对应的可执行文件,是以一串疑似MD5的字符命名(并非文件真实MD5),但已经被删除:

通过crontab –l命令可以看到可疑的定时任务:

定时任务对应的sh脚本内容为base64编码过的命令:

病毒母体-int

该ELF文件是作为病毒的母体和守护进程,运行后会将自身进程名重命名为一个随机的字符串:

删除自身对应的可执行文件:

解码并创建目录/tmp/.X11-unix,检测目录中是否存在00文件,该文件是用于记录进程的pid:

创建子进程:

通过setsid,将子进程脱离当前会话并且创建新的会话

并将新的会话进程ID写入/tmp/.X11-unix/00文件:

执行base64编码的bash命令,共有5个不同的bash命令,分别用于下载不同模块和执行不同的功能:

bash-01 本机持久化

解码后的内容如下,功能是用于创建定时任务.xzfix.sh:

定时任务的内容解码后如下,功能为下载int文件:

bash-02 内网传播

主要功能为下载脚本卸载安防产品(其中阿里云的安骑士、腾讯云的云镜等产品):

下载可执行文件trc和bot:

其中trc文件用于Hadoop Yarn未授权访问漏洞利用,运行时会将自身进程ID写入/tmp/.X11-unix/2文件中:

获取当前所有的节点,并且对本地网络进行漏洞攻击

其漏洞执行命令如下,该命令会下载病毒程序hd进行进一步感染:

除漏洞利用外,该挖矿木马还会通过ssh暴力破解进行内网传播:

利用运维工具(ansible、knife、salt)对内网服务器进行批量感染,利用ssh远程执行命令,命令通过base64解码后是下载病毒母体int:

bash-03 竞争对手清理

清除服务器上其他的挖矿木马,改写hosts文件让其他挖矿无法访问对应的域名,以达到独占的目的:

bash-04 下载挖矿

下载可执行文件cpu:

该文件为挖矿程序:

bash-05 状态控制

下载cmd脚本:

cmd脚本中的命令功能是当主机网络无法连接到矿池时,会结束掉自身的挖矿进程,增强隐蔽性:

解决方案

1.服务器使用复杂密码,且避免与其他密码重复; 2.如无必要,不要将接口开放在公网,改为本地或者内网调用; 3.升级Hadoop到2.x版本以上,并启用Kerberos认证功能,禁止匿名访问; 4.清理随机字符名的可疑进程和高CPU占用进程; 5.清理恶意定时任务,删除/tmp/.X11-unix目录。

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:千里目安全实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

    云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊...

    Kendiv
  • 比特币暴涨引发挖矿木马成倍增长,企业如何冲破“木马围城”?

    受比特币暴涨影响,各类数字虚拟币市值均有大幅增长。而虚拟货币繁荣背后,黑色数字产业链却早已将方向转向“挖矿”领域,挖矿木马仍是企业服务器被攻陷后植入的主要木马类...

    腾讯安全
  • 2019年网络安全威胁和网络犯罪预测分析

    随着互联网的快速发展,网络已融入了我们生活的每一个角落,给我们带来了很多的便利,但同时网络安全威胁也一直给我们带来各种不利的影响。近几年来,网络安全威胁日益严重...

    墨者盾
  • 一篇文章说清楚 Linux 应急响应技巧

    Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响...

    lyb-geek
  • 暗云III v3.0等多个病毒家族结伴来袭实战分析

    根据C:/Windows/System32/b.txt产生的老的连接状态日志发现有大量外发扫描1433端口判断可能是通过SQL Server弱密码进来的。

    FB客服
  • 挖矿木马详解

    攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿...

    网e渗透安全部
  • 《2020挖矿木马年度报告》:挖矿团伙勾结僵尸网络日趋多见

    近期,加密货币市场可谓热度十足。数字资产交易网站Crypto.com的一项调查显示,截至2021年1月,全球已有1.06亿加密货币用户。各类数字加密货币价格暴涨...

    腾讯安全
  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火...

    FB客服
  • 2020火绒终端安全回顾:流氓病毒化 病毒逐利化

    2020年,疫情冲击了各行各业,线上工作需求激增,远程上课、居家办公等一度成为主流,同时也让终端安全防护面临更多的挑战与考验。

    用户6477171

扫码关注云+社区

领取腾讯云代金券