linux挖礦病毒DDG改造後重出江湖蔓延Windows平臺
背景概述
近日,深信服安全團隊捕獲一枚Linux、windows雙平臺的挖礦病毒樣本,通過安全人員分析確認,該木馬是通過redis漏洞傳播的挖礦木馬DDG的最新變種,使用當前最新的go語言1.10編譯使用了大量的基礎庫檔案,該木馬會大量消耗伺服器資源,難以清除並具有內網擴散功能。
DDG挖礦病毒是一款在Linux系統下執行的惡意挖礦病毒,該病毒從去年一直活躍在現在,已經挖取了價值一千多萬人民幣的虛擬幣貨幣,此病毒樣本在一年左右的時間,已開發出了DDG.3012/DDG3013/DDG3020多個變種版本。
主要功能如下:
0x1 現象描述
根據安全感知SIP報警提示,某主機會每隔3個小時從網際網路去下載一個update.sh的惡意指令碼連線地址為:
43.245.222.57:8667/6Hxxxxxx/update.sh
同時對外網發起redis的掃描:
通過威脅情報關聯發現,當前還未收錄該URL的相關情報,查詢提示非惡意:
最新的日期為4月8日:
0x2 主機排查
安全人員通過對主機進行排查發現,當前的挖礦程序當前的CPU已經達到了399%左右,並且該程序名與PID都會間隔一定的時間變換:
程式的主要目錄在tmp下面:
在tmp目錄下發現病毒主體的樣本建立使用者為nobody:
同時使用定時任務做長期的存活,每間隔30分鐘執行一次:
Update.sh指令碼主要實現的功能比較多,足足有15KB那麼大,主要包含的功能如下:
1. 病毒主體的惡意檔案下載
2. Kill其他的其他挖礦程序
3. 寫入authorized_keys實現root的免密碼登入
4. 建立定時任務
5. 新增iptables策略、清除系統日誌等操作
寫入authorized_keys實現root的免密碼登入截圖如下:
0x3 病毒樣本分析
Sysupdate模組
該程式由go語言編寫,由於沒有符號檔案,所以函式全都是匿名的。Go語言的編譯器不同版本有很大區別,因此在分析過程中需要先識別一下版本資訊,該木馬的編譯器版本為1.10:
從函式的名字可以看出,該元件主要作用是用來內網掃描,橫向移動。繼續跟進相關函式,尋找具體功能;該程式匯入了多個模組,對內網中不同服務進行攻擊包含mssql redis thinkphp weblogic等漏洞:
Sysguard模組
這個元件主要工作是開啟dog的一些方法,繼續跟蹤發現內部會有一些不同平臺的識別,配合元件二的掃描結果,下載攻擊載荷payload,執行相應的os系統命令完成攻擊任務。所以判斷該挖礦程式是可以在win和linux下均可執行的:
通過cc伺服器實現的一系列方法,選中的函式的功能是獲取windows的powershell:
Sysupdate模組
該元件正是挖礦元件的挖礦部分使用開源的xmrig:
0x4 加固建議
1.清理系統內全部使用者的相關的惡意定時任務;
2.刪除tmp目錄下的惡意病毒檔案;
3.修復相關的漏洞、使用強密碼、對redis mssql等系統設定訪問控制權限;
4.使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;
5.建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。
IOC:
URL:
https://pixeldrain.com/api/file/3myaXqqZ
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/sysupdate
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/update.sh
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/update.sh
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/config.json
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/config.json
https://pixeldrain.com/api/file/aQWIprw
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/networkservice
https://pixeldrain.com/api/file/o4m-DmH6
http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/sysguard
MD5
networkservice 64F11B25EBA509B5EF958B0BD70398D3
sysguard C562BE2E56509236AFA25782B690E67C
sysupdate FF879D31ED80841482C27C90E2BFE268
Update.sh 7CE3D45CE6D2831677B8951E53390302