近日,深信服安全團隊捕獲到一款新型的Linux挖礦木馬,該木馬通過bash命令下載執行多個功能模塊,通過SSH暴力破解、SSH免密登錄利用、Hadoop Yarn未授權訪問漏洞和自動化運維工具內網擴散,且該木馬的文件下載均利用暗網代理,感染后會清除主機上的其他挖礦木馬,以達到資源獨占的目的。
感染現象
被感染的Linux服務器上,可以明顯看到一個CPU占用率很高的進程,名字為隨機字符:
查看進程對應的可執行文件,是以一串疑似MD5的字符命名(并非文件真實MD5),但已經被刪除:
通過crontab –l命令可以看到可疑的定時任務:
定時任務對應的sh腳本內容為base64編碼過的命令:
病毒母體-int
該ELF文件是作為病毒的母體和守護進程,運行后會將自身進程名重命名為一個隨機的字符串:
刪除自身對應的可執行文件:
解碼并創建目錄/tmp/.X11-unix,檢測目錄中是否存在00文件,該文件是用于記錄進程的pid:
創建子進程:
通過setsid,將子進程脫離當前會話并且創建新的會話
并將新的會話進程ID寫入/tmp/.X11-unix/00文件:
執行base64編碼的bash命令,共有5個不同的bash命令,分別用于下載不同模塊和執行不同的功能:
bash-01 本機持久化
解碼后的內容如下,功能是用于創建定時任務.xzfix.sh:
定時任務的內容解碼后如下,功能為下載int文件:
bash-02 內網傳播
主要功能為下載腳本卸載安防產品(其中阿里云的安騎士、騰訊云的云鏡等產品):
下載可執行文件trc和bot:
其中trc文件用于Hadoop Yarn未授權訪問漏洞利用,運行時會將自身進程ID寫入/tmp/.X11-unix/2文件中:
獲取當前所有的節點,并且對本地網絡進行漏洞攻擊
其漏洞執行命令如下,該命令會下載病毒程序hd進行進一步感染:
除漏洞利用外,該挖礦木馬還會通過ssh暴力破解進行內網傳播:
利用運維工具(ansible、knife、salt)對內網服務器進行批量感染,利用ssh遠程執行命令,命令通過base64解碼后是下載病毒母體int:
bash-03 競爭對手清理
清除服務器上其他的挖礦木馬,改寫hosts文件讓其他挖礦無法訪問對應的域名,以達到獨占的目的:
bash-04 下載挖礦
下載可執行文件cpu:
該文件為挖礦程序:
bash-05 狀態控制
下載cmd腳本:
cmd腳本中的命令功能是當主機網絡無法連接到礦池時,會結束掉自身的挖礦進程,增強隱蔽性:
解決方案
1. 服務器使用復雜密碼,且避免與其他密碼重復;
2. 如無必要,不要將接口開放在公網,改為本地或者內網調用;
3. 升級Hadoop到2.x版本以上,并啟用Kerberos認證功能,禁止匿名訪問;
4. 清理隨機字符名的可疑進程和高CPU占用進程;
5. 清理惡意定時任務,刪除/tmp/.X11-unix目錄。
*本文作者:深信服千里目安全實驗室,轉載請注明來自FreeBuf.COM
責任編輯:
