Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

admin 2021年12月24日05:49:00评论261 views字数 1412阅读4分42秒阅读模式
背景概述

近日,深信服终端安全团队、深信服安服应急响应中心团队监控到一款Linux系统下活跃的挖矿木马,且出现大面积感染的情况,该挖矿木马采用go语言编译,根据其行为特点,安全专家将其命名为WorkMiner挖矿木马。

该挖矿病毒入侵终端后会占用主机资源进行挖矿,影响其他正常业务进程的运转,传播过程中病毒文件会修改防火墙的规则,开放相关端口,探测同网段其他终端并进行SSH暴力破解,容易造成大面积感染

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

/受感染主机出现的异常进程/


病毒现象

1、病毒启动后,会释放如下文件:

/tmp/xmr (xmrig挖矿程序)

/tmp/config.json (xmrig挖矿配置文件)

/tmp/secure.sh (封禁爆破IP)

/tmp/auth.sh (封禁爆破IP)

/usr/.work/work64 (病毒母体文件)


2、病毒进程

./work32-deamon

./work64 -deamon

/tmp/xmr

/usr/.work/work32

/usr/.work/work64

/bin/bash /tmp/secure.sh

/bin/bash /tmp/auth.sh


3、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中创建计划任务:

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


4、修改防火墙规则,开放8000(udp) 和8017(tcp) 端口

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


5、/usr/bin/url、/usr/bin/wget 命令被重命名为/usr/bin/curl1和/usr/bin/wget1

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


技术分析

病毒样本加了UPX壳:

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


该挖矿木马是采用go语言编译的,脱壳后可以看到golang相关的字符串:

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


经过解析后,函数列表如下:

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


木马启动后会先终结竞争对手的进程:

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


随后释放config.json、secure.sh、auth.sh、xmrig等恶意文件,其中xmrig为挖矿程序;

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


随后启动ssh爆破线程,对同网段其他终端发起ssh爆破进行传播;

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

 

连接P2P僵尸网络;

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

 

IOC

矿池域名:

xmr.crypto-pool.fr


矿池账号:

47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV


MD5:

06e1f988471336d788da0fcaa29ed50b

429258270068966813aa77efd5834a94

20552242cd4b5e8fa6071951e9f4bf6d


深信服安全产品处置方案

1.深信服EDR3.5.6版本最新集成Linux专杀框架,针对活跃挖矿家族进行精准识别和深度查杀,建议升级至3.5.6版本,更新至最新病毒库,并接入深信服安全云脑,及时检测查杀。

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播


2.深信服安全感知、下一代防火墙用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

3.深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4.深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

深信服千里目安全实验室
扫描关注我们

本文始发于微信公众号(深信服千里目安全实验室):Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月24日05:49:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播http://cn-sec.com/archives/462923.html

发表评论

匿名网友 填写信息