1、背景介绍  

2月至今，闪焰安全团队接到多起linux挖矿病毒应急响应事件，用户内网大量服务器被植入挖矿病毒，内网出现大面积的横向SSH爆破行为，虚拟机CPU占用异常高，导致用户业务云平台负载增高，严重影响正常业务运行。

2、病毒文件描述  

该病毒通常以 SSH 爆破等方式入侵受害主机，并且具有一定横向移动能力，能够在受害主机部署挖矿程序，为攻击者谋取利益，并且攻击者在原攻击过程的基础上不断增加反安全软件功能。攻击者显然对国内几家安全厂商的Linux平台安全软件进行了分析，在攻击成功之后，恶意程序会通过计划任务反复卸载设备上的安全软件，最终导致设备丧失安全保护，下面会逐一进行分析。

2、病毒排查分析  

2.1、病毒排查思路  

由于排查中毒主机时未发现高CPU或内存的占用进程，但确实发现存在挖矿病毒以及相应配置文件，因此猜测该挖矿病毒存在rootkit的行为

使用busybox对预加载动态链接库的配置文件进行查看，发现已被篡改成恶意的.so文件

         

进入配置文件将恶意配置进行删除

  再次查看主机运行状态，可明显发现/root/gcclib/libgcc_a进程存在cpu使用较高的情况

通过情报社区进行沙箱检测，确认为Xmrig挖矿病毒进程

通过查看/root/gcclib目录下发现存在大量可疑文件，将这些可疑文件都下载到本地进行经分析均为挖矿病毒恶意文件  

之后查看主机计划任务发现Xbash可疑文件

    

下载到本地经分析发现是Makeself2.4.5生成的可执行软件。Makeself是一个小型shell脚本,它可以把特定目录下的文件打包成为一个shell脚本类似的文件,并且能够像shell脚本一样执行。

之后我们通过Xbash将压缩的文件解压缩出来，使用--noexec以及--confirm选项不让其解压缩后直接执行，解压下来得到一个prog目录下cronman文件

通过对cronman文件进行分析之后，寻找到后续的病毒文件所在目录

横向扩散病毒模块目录

劫持的库文件目录

重定向代理主机访问配置文件目录

恶意启动程序实现开机自启动文件目录

向/.ssh/authorized_keys写入ssh公钥

     

向/etc/cron.hourly/、/etc/cron.daily/、/var/spool/cron/crontabs等文件夹写入定时任务

将以上病毒文件及目录进行删除后，等待一会后发现病毒重新对矿池发起连接，怀疑有隐藏文件未及时删除，导致主机通过代理去下载挖矿程序。

之后通过编写的专杀脚本对该主机再次进行查杀，主机恢复正常。

2.2、病毒文件分析  

Cronman文件分析

1、针对Linux系统基本所有日志进行清除

2、删除历史命令的模块

3、脚本会关闭 vm-agent、mysql 和安全软件进程，卸载并删除国内常见安全软件

4、编辑sshd的配置文件，写入ssh公钥并重新加载

          

         

5、根据不同系统版本，使用不同的方式修改防火墙设置，开放端口 757

6、修改/etc/ld.so.preload可以修改程序启动后加载的动态库从而进行库劫持

         

7、测试网络连通情况，安装nc、wget、xinetd该脚本会判断

xfit 服务状态并访问http://127.0.0.1:999/api.json 来判断 xfit 是否还在运行及网络是否正常，如果不正常，则会尝试修复。即关闭正在运行的xfit服务，然后通过链接下载 shell 脚本。

如果下载失败，脚本会通过 /root/.xfit/ip.txt 下的 IP 地址列表，使用 nc 扫描内网其他主机的 757 端口。若成功，则将对应的主机作为代理，再次尝试下载。

         

8、该病毒实现横向扩散行为主要通过下载开源spirit软件，根据设置的时间定期进行ssh口令爆破

9、对/etc/init.d/文件夹中写入恶意启动程序实现开机自启动

10、脚本还会通过 xinetd.d创建名为 smtp_forward、http_forward 端口转发服务，使用757 端口和 703 端口，分别转发到 5.133.65[.]53:80和$MINEIP:80，这里 $MINEIP 为指向矿池 IP地址。

3、应急响应总结  

此次应急响应是由典型的linux挖矿病毒导致严重影响业务的一次安全事件，通过现场排查发现挖矿病毒存在rootkit的行为，在手动结束掉多个挖矿的进程与文件后挖矿进程再次重启，通过专杀脚本进行专杀后主机运行正常。

通过病毒文件的分析发现此病毒通过反复卸载删除国内市场上常见的杀毒软件来保护挖矿病毒文件不被检测查杀。由于用户内网多数服务器存在弱密码，该挖矿病毒对内网服务器进行SSH暴力破解，使得大量的服务器被暴力破解成功下载挖矿病毒进行挖矿行为，最终导致服务器与业务出现异常现象。

---

         

IOCs

5.133.65[.]53

5.133.65[.]54

5.133.65[.]55

5.133.65[.]56

http[:]//5.133.65[.]53/soft/linux/warmup

http[:]//5.133.65[.]53/soft/linux/xfitaarch

http[:]//5.133.65[.]53/soft/linux/xfit

http[:]//5.133.65[.]53/soft/linux/crontab

---

4、处置与防护建议  

1.避免将SSH等远程登录端口，在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令并定期更换口令。

2.内网对远程登录端口进行严格的ACL限制，对可远程登录服务的IP进行限制。

3.定期进行基线检查，对SSH等远程登录失败次数进行限制，如登录失败超过5次则封堵源IP。

4.重要业务定期进行风险评估与检查，提前排除安全风险。

---

  如发现类似安全事件，可联系闪焰安全服务团队进行应急处置。

原文始发于微信公众号（闪焰安全服务团队）：Warmup挖矿病毒应急响应