背景概述
近日,深信服終端安全團隊���、深信服安服應急響應中心團隊監控到一款Linux系統下活躍的挖礦木馬,且出現大面積感染的情況,該挖礦木馬采用go語言編譯,根據其行為特點,安全專家將其命名為WorkMiner挖礦木馬��。
該挖礦病毒入侵終端后會占用主機資源進行挖礦,影響其他正常業務進程的運轉,傳播過程中病毒文件會修改防火墻的規則,開放相關端口,探測同網段其他終端并進行SSH暴力破解,容易造成大面積感染��。
/受感染主機出現的異常進程/
病毒現象
1����、病毒啟動后,會釋放如下文件:
/tmp/xmr (xmrig挖礦程序)
/tmp/config.json (xmrig挖礦配置文件)
/tmp/secure.sh (封禁爆破IP)
/tmp/auth.sh (封禁爆破IP)
/usr/.work/work64 (病毒母體文件)
2����、病毒進程
./work32-deamon
./work64 -deamon
/tmp/xmr
/usr/.work/work32
/usr/.work/work64
/bin/bash /tmp/secure.sh
/bin/bash /tmp/auth.sh
3���、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中創建計劃任務:
4�����、修改防火墻規則,開放8000(udp) 和8017(tcp) 端口
5���、/usr/bin/url�、/usr/bin/wget 命令被重命名為/usr/bin/curl1和/usr/bin/wget1
技術分析
病毒樣本加了UPX殼:
該挖礦木馬是采用go語言編譯的,脫殼后可以看到golang相關的字符串:
經過解析后,函數列表如下:
木馬啟動后會先終結競爭對手的進程:
隨后釋放config.json���、secure.sh���、auth.sh��、xmrig等惡意文件,其中xmrig為挖礦程序;
隨后啟動ssh爆破線程,對同網段其他終端發起ssh爆破進行傳播;
連接P2P僵尸網絡;
IOC
礦池域名:
xmr.crypto-pool.fr
礦池賬號:
47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV
MD5:
06e1f988471336d788da0fcaa29ed50b
429258270068966813aa77efd5834a94
20552242cd4b5e8fa6071951e9f4bf6d
深信服安全產品處置方案
1.深信服EDR3.5.6版本最新集成Linux專殺框架,針對活躍挖礦家族進行精準識別和深度查殺,建議升級至3.5.6版本,更新至最新病毒庫,并接入深信服安全云腦,及時檢測查殺�����。
2.深信服安全感知�、下一代防火墻用戶,建議及時升級最新版本,并接入安全云腦,使用云查服務以及時檢測防御新威脅;
3.深信服安全產品集成深信服SAVE人工智能檢測引擎,擁有強大的泛化能力,精準防御未知病毒;
4.深信服推出安全運營服務,通過以“人機共智”的服務模式幫助用戶快速提高安全能力�。針對此類威脅,安全運營服務提供安全設備策略檢查�、安全威脅檢查�����、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防范此類威脅����。
評論投稿
打印
轉發
復制鏈接
