蜜罐捕获“门罗币”挖矿木马样本的二进制分析

概述：

在搭建的T-Pot蜜罐平台中，Cowrie蜜罐捕获了一种挖矿木马。

攻击者IP为111.73.45.73，对ssh的端口进行扫描，散播挖矿木马。

攻击者于2018-07-31 02:23:46，通过ssh爆破，进入了蜜罐伪装的文件系统，下载了3个木马文件，进行门罗币的挖矿行为，能够使机器变为攻击者的矿机。

在shell脚本的注释中，获取了木马作者为sysxlj。

木马文件情况：

黑客攻击路径:

行为分析:

IP:111.73.45.73,属于僵尸网络。来自江西上饶。威胁情报如下:

首先对ssh服务，22端口进行爆破，爆破后进入蜜罐伪装的文件系统。进入系统的时间为2018-07-25 02:23:46

进入系统后，该攻击者执行了以下命令：

可以看出首先关闭了防火墙，然后从源IP的9789端口获取木马。

文件二进制分析:

接下来对木马核心文件sysxlj进行分析。

首先通过readelf指令，可以观察该可执行文件的基本信息：

从中我们可以看出，这是一个32位的可执行文件，入口点为0x8048120，文件格式为elf。

下面是elf中各个节头的类型、名称、起始位置:

还有定义和引用的各个函数的地址信息：

我们可以用 strings 指令来查看该可执行文件，但是显示出的内容很多，我们可

以通过 grep+正则表达式来选择性输出我们感兴趣的信息，比如说 IP：

通过该指令，获取到了存在程序中带有 ip 信息的字符串，但是这些字符串具体

是什么作用的，还需要进一步分析。

下面用反汇编软件 IDA 查看该木马的样本，先定位该木马的主函数，main 函数：

利用 ida 的反汇编功能，我们可以看到伪代码，从中可以看到木马的主程序结构：

发现了一个函数名为CheckGatesType的函数，并且该函数的查询结果控制了程序的走向，在google上搜索了该函数，发现该木马属于“盖茨木马”家族的一个变种。

这种木马主要恶意特点是具备了后门程序，DDoS攻击的能力，并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中，大量使用Gates这个单词。

下面猜测有关ip和域名的信息应该藏在了Ikdfu94()这个函数里，用动态调试试下

该木马还对 gdb 动态调试做了限制：

Ikdfu94()好像对一段数据进行了解密，看看变成了什么：

准备开启动态调试，这里使用了 edb 这个工具，使用 symbols 这个插件可以找到我们要定位的函数 Ikdfu94()，下断点开启调试：

下面红框里解出了字符串，看起来像 ip，但其实并不是:

下面跑到 0x08130830 这个函数里，把之前的字符串导了进来:

经过一系列操作之后，把之前的字符串变成了目的地址:

可以看到 ip 为 111.73.45.73 端口为 9123

在虚拟机上运行该木马程序，并抓包分析，发现数据是吻合的:

而且推测，改木马最近一次的编译时间是 20180609，之后一直在网上大量传播......