DDG僵尸网络频繁更新攻击Linux系统挖矿

DDG僵尸网络主要通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG5015-DDG5023)。病毒的挖矿行为会对服务器性能产生极大影响。

一、概述

DDG僵尸网络最早出现于2017年,主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 

DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 

病毒的挖矿行为会对服务器性能产生极大影响,​腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 

二、详细分析

1.DDG挖矿木马频繁更新

DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)

1.png

DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname-m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。

2.png

2.下发配置文件

DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpressmd5, ddg最新的更新地址,病毒脚本

i.sh下载地址等信息。

3.png

3.病毒脚本i.sh

下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有:

(1)  创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行  i.sh

(2)  下载更新最新版的DDG病毒,目前已更新到DDG/5023版本

(3)  结束旧版本的木马进程。  

 

4.png

4.卸载云服务器安防产品

最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现自保护。

5.png

 

5.写hosts文件屏蔽竞争木马的网址

修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下

6.png

6.挖矿木马wordpress

下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。

7.png

挖矿时使用矿池:

178.128.108.158:443

103.195.4.139:443

68.183.182.120:443 

8.png

安全建议: 

1.为Redis添加强密码验证,切勿使用弱口令;

2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;   

3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上;

4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。  

9.png

 

IOCS:

Md5:

DDG(5015-5023)

e64b247d4cd9f8c58aedc708c822e84b

2c4b9d01d2f244bb6530b48df99d04ae

d2a81a0284cdf5280103bee06d5fe928

495dfc4ba85fac2a93e7b3f19d12ea7d

682f839c1097af5fae75e0c5c39fa054

dc87e9c91503cc8f2e8e3249cd0b52d7

c8b416b148d461334ae52aa75c5bfa79

f84a0180ebf1596df4e8e8b8cfcedf63

14fcb1d3a0f6ecea9e18eff2016bc271

 

挖矿木马:

d146612bed765ba32200e0f97d0330c8

 

i.sh:

bceb6cbb2657e9a04b6527161ba931d8

 

Ip:

67.205.168.20

47.94.153.241

61.129.51.79
47.101.35.209

 

矿池:

178.128.108.158:443

103.195.4.139:443

68.183.182.120:443

 

参考链接:

DDG挖矿僵尸网络利用SSH弱口令爆破攻击Linux服务器

https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php