一、概述

最近，深信服安全團隊捕獲到SystemdMiner挖礦木馬最新變種，該家族在2019年被首次發現，起初因其組件都以systemd-<XXX>命名而得名，但慢慢的，它們開始棄用systemd的命名形式，改爲了隨機名。

深信服安全團隊通過C&C域名、腳本、定時任務等特徵確認該病毒爲SystemdMiner最新變種，本次變種的不同點在於更新了C&C域名及連接C&C域名的方式，使用socket5代理的方式訪問C&C域名，從而實現繞過安全網關的目的，其餘的特徵與過往版本類似。

二、主機排查

失陷主機卡頓嚴重，使用top命令定位到挖礦進程爲XBpdur，CPU佔用率達到597%。

當查看其進程信息時，發現進程對應的文件及符號鏈接未找到，說明病毒極大可能運行後進行了自刪除並刪除符號鏈接。

使用netstat命令發現XBpdur進程有兩條可疑網絡連接，通過威脅情報關聯，確認該病毒爲SystemdMiner。

主機上也存在SystemdMiner特有的定時任務，定時調用一個隨機名sh腳本，該sh腳本是由一串base64加密的字符串組成的。

三、樣本分析

解密後的腳本代碼如下，與之前變種不同的是，本次的C&C域名由tencentxjy5kpccv.*更換爲了trumpzwlvlyrvlss.*，且使用了socket5的方式用relay.tor2socks.in代理訪問C&C域名，relay.tor2socks.in是一個類似中轉網站的域名，這樣，C&C域名trumpzwlvlyrvlss.onion就不會直接出現在數據包頭。

模擬執行腳本中的下載命令，得到病毒文件母體，是一個64位的ELF文件。

當使用IDA進行反彙編時，函數列表與導入表都幾乎沒有顯示，極大可能是經過加密了。

由於是黑客自定義的加密算法，只好單步調試，一路單步後，IDA提示在數據段發現了代碼結構，此處的代碼即爲解密出來的核心惡意代碼。

核心惡意代碼在0×400339處，使用IDA的內存快照功能保存下來，這樣就可以斷開調試本地分析了。

保存好快照後，查看字符串窗口，樣本的敏感字符串都顯示出來了，跟過往的變種一樣，樣本內嵌了base64腳本，在運行時釋放。

第1個腳本的主要功能是卸載安騎士、雲鏡等安防產品，以及清除其他家族的挖礦病毒進程。

第2個腳本用於下載挖礦程序cpu，下載方式及域名跟上述的一樣。

cpu也是經過加密的，解密方式與病毒母體的類似，解密出來後的樣本是XMRig挖礦程序。

其他兩個腳本用於下載cmd和bot模塊，目前下載連接已失效，bot大概率是該病毒的傳播模塊。

四、解決方案

1、修改ssh弱密碼，防止被爆破。
2、對重要的數據文件定期進行非本地備份。
3、建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。

五、IOC

57374AF602FE4D852AB38EB68F641FB0– x86_64
31DF932A2963F830ACB39B28D60B5E96– cpu
trumpzwlvlyrvlss.onion — C&C域名
trumpzwlvlyrvlss.tor2web.in — C&C域名
trumpzwlvlyrvlss.tor2web.io — C&C域名
trumpzwlvlyrvlss.tor2web.to — C&C域名
trumpzwlvlyrvlss.tor2web.su — C&C域名
222.35.250.117– 礦池地址

*本文作者：深信服千里目安全實驗室，轉載請註明來自FreeBuf.COM