一款新型的Linux挖矿木马来袭

一、事故背景

近来接到客户反馈,发明Linux机械卡顿,CPU应用量超标高达90%以上,狐疑被挖矿,笃信服EDR安然团队第一光阴进行了应急处置惩罚,并发明该挖矿木马为一款新型的Linux挖矿木马,并对此样本进行了深入的钻研阐发。

二、样本分析

1.对一系列矿池地址进行DNS查询哀求,如下:

响应的矿池地址列表如下:

pool.minexmr.com,xmr-eu1.nanopool.org,xmr-eu2.nanopool.org

xmr-us-east1.nanopool.org,xmr-us-west1.nanopool.org,xmr-asia1.nanopool.org

xmr-jp1.nanopool.org,xmr-au1.nanopool.org,xmr.crypto-pool.fr

fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com

pool.supportxmr.com、xmr-usa.dwarfpool.com、xmr-eu.dwarfpool.com

xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com

xmr.f2pool.com、xmr.pool.minergate.com、monerohash.com

pool.monero.hashvault.pro、gulf.moneroocean.stream

us-east.cryptonight-hub.miningpoolhub.com

europe.cryptonight-hub.miningpoolhub.com

asia.cryptonight-hub.miningpoolhub.com

2.经由过程chattr -i删除掉落文件保护属性,从新感染主机系统,如下:

3.经由过程进程/proc/[进程ID]/exe,获取文件的路径,如下:

4.在内存中拼接字符串,如下所示:

响应的敕令行如下:

5.运行/bin/sh履行之前拼接出来的敕令,复制自身,添加响应的自启动项,进行持久化操作,如下所示:

响应的反汇编代码如下:

6.经由过程rm -f进行自删除操作,如下:

7.改动resolv.conf设置设置设备摆设摆设文件,如下:

响应的反汇编代码如下:

改动之后的resolv.conf文件如下:

8.改动crontab准时义务文件,如下:

响应的反汇编代码,如下:

9.改动之后的准时文件内容,如下:

10.判断是否可以读取如下文件,如下:

11.改动原系统中的top法度榜样,如下:

将内存中的数据,写入新天生的top法度榜样,如下:

12.改动复制后的文件保护属生,如下:

[1] [2] [3]下一页

13.天生临时记录文件mmlog,如下:

14.设置系统内存属性等,如下:

15.干掉落其它收集哀求法度榜样,如下:

16.干掉落其它挖矿进程,如下:

经由过程/bin/sh履行如下敕令:

17.启动新的挖矿进程,然落后行挖矿操作,挖矿的进程名从列表中随机拔取,如下:

随机进程列表如下:

[aio][async][ata][ata_aux][bdi-default][cpuset][crypto][ecryptfs-kthrea]

[events][ext4-dio-unwrit][flush-251:0][flush-8:0][jbd2][kacpi_hotplug]

[kacpi_notify][kacpid][kblockd][kconservative][kdmflush][khelper][khubd]

[khungtaskd][kintegrityd][kmmcd][kmpath_handlerd][kmpathd][kondemand]

[kpsmoused][kseriod][ksmd][ksnapd][ksoftirqd][kstriped][ksuspend_usbd]

[kswapd0][kswapd1][kthreadd][migration][netns][pm][scsi_eh_0][sync_supers]

[usbhid_resumer][watchdog][xfs_mru_cache][xfsaild][xfsbufd][xfsconvertd]

[xfsdatad][xfslogd][xfssyncd]

18.内置的挖矿法度榜样,经由过程设置设置设备摆设摆设文件启动挖矿法度榜样,进行挖矿,如下:

19.同时发明法度榜样内置了一个py脚本,履行下载履行法度榜样,因为远程办事器地址掉效了,无法下载响应的样本,导致无法阐发,提掏出来的响应的py脚本如下:

20.抓获取的响应的数据包如下,此样本批量DNS哀求响应的矿池地址,如下:

挖矿的收集数据包,如下:

跟踪TCP数据流如下:

把矿池的IP地址到VT长进行查询,如下:

钱包地址:

462ESZn57F4fBneHKXhnEM4TmgCvgrsErGJBLY1T61fmKGymjFuEZup6pnqhT3iJtw4fgbsjdPLwUgsGnr1zzDKuFSkZaF1

经由过程钱包地址查询,如下:

三、办理规划

该Linux挖矿木马清除办理规划如下:

1.停止相关的进程,经由过程ps查找相关进程,挖矿的进程名在随机进程列表中

进程[xfslogd]占用CPU较高,经由过程kill -9 24984停止此进程,同时可以看到此进程是由我们阐发的母体进行创建的

2.清理准时义务

清除掉落着末一行准时任各启动libiacpkmn.so.3

3.清除/usr/lib/目录下的libiacpkmn.so.3文件,清除文件保护属性后删除

上一页[1] [2] [3]下一页

4.清除/bin和/etc/init.d两个目录下的nfstruncate文件,清除文件保护属性后删除

5.清除rc*.d文件下的文件链接,分手为rc0.d-rc6.d文件中的S01nfstruncate文件

四、相关IOC

MD5

8D80041CDEA7DC172FFF87A6758ED548

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包