xmrig挖矿处置

admin 2023年12月1日15:26:43评论38 views字数 1351阅读4分30秒阅读模式

    本文已获得相关单位授权

初始阶段

    安全设备监测到内网存在挖矿病毒流量
xmrig挖矿处置
xmrig挖矿处置
    上机进行排查,未发现主机存在恶意进程,但是对网卡抓包,确认确实存在,从服务、启动项、计划任务等多个维度,也未发现存在恶意进程。
xmrig挖矿处置
    通过抓包发现,除了本机ip地址外,还存在别的ip,但是该ip并不属于该主机网卡地址,怀疑存在docker场景,查看docker,未发现有运行中的docker镜像。
xmrig挖矿处置

正式排查

    由于排查主机是存在桌面环境,发现该主机安装有虚拟环境,打开虚拟环境,找到另外一台主机,猜测是另外一台主机的流量经过宿主机网卡,导致被安全设备监测到。
xmrig挖矿处置
    查看外连ip并结合威胁情报查询,发现存在外连挖矿地址,但是进程名以及PID无法显示。
xmrig挖矿处置
xmrig挖矿处置
    初步判断该病毒利用库文件劫持、进程挂载等方式来隐藏,查看/etc/ld.so.preload文件,发现该文件被篡改(一般情况下该文件默认为空),结合计算该库文件md5值,并查询威胁情报,发现该库文件为恶意文件,主要作用是用来隐藏进程。
xmrig挖矿处置
xmrig挖矿处置
    将该文件清空后,再次查看网络连接,发现能够正常查看网络连接信息,能定位到具体的恶意进程了。
xmrig挖矿处置
    查看恶意进程PID 22133的进程状态,发现该进程被服务拉起
xmrig挖矿处置
    查看服务,确认为恶意服务,同时恶意进程和服务都指向/root/.cfg/目录下的一个可执行文件。
xmrig挖矿处置
    查看.cfg目录所有文件,并计算rcu_tasked的md5值,查询威胁情报,确认该文件为恶意文件
xmrig挖矿处置
xmrig挖矿处置

其他可疑项排查

    查看计划任务,发现该主机存在可疑计划任务,该计划任务会运行恶意可执行程序dealer
xmrig挖矿处置
    发现多个可登录账号,两个特权账号
xmrig挖矿处置
xmrig挖矿处置

处置

    1、清空或删除ld.so.preload,去掉库文件劫持,保证进程网络连接正常显示
    2、利用systemctl停止(stop)恶意服务,并禁用该服务(开机自启 disable)
    3、删除计划任务,防止因计划任务重新拉起病毒程序
    4、kill -9 pid强制终止恶意进程
    5、删除/root/.cfg/目录下所有恶意文件
    6、根据实际情况对可登录账号进行处理

其他注意项

    该主机存在内网横向暴破行为,且存在ssh连接,建议内网主机账号密码使用强口令。
xmrig挖矿处置

总结

    拿到一个挖矿病毒的主机的时候首先要确认,发起源是否为当前主机。如果确认到相关主机,那么就可以根据以下常规思路进行排查:
    1、netstat查看网络连接,根据网络连接定位到相关进程
    2、查看进程状态systemctl status pid,获取到进程相关信息,如被拉起的父进程是谁、可执行文件具体位置
    3、如果进程是被服务拉起,则还需要查看服务信息
    4、常规排查,如账号密码、计划任务、自启动脚本,因为一台矿机的权限被拿下后,肯定是为了持久性获取该主机可利用价值,程序被干掉后,极有可能被服务、计划任务、自启动脚本拉起

处置:
    有服务先干服务(先停止、关闭开机自启),其次干掉计划任务、自启动脚本,最后终止进程,删除文件。

    如果查看网络存在进程被隐藏的情况,可以先使用busybox查看,或者是unhide命令。


原文始发于微信公众号(安服仔的救赎):xmrig挖矿处置

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月1日15:26:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   xmrig挖矿处置https://cn-sec.com/archives/2259276.html

发表评论

匿名网友 填写信息