新型挖矿病毒借助“海啸”僵尸网络发动DDOS攻击
近期一直处于低迷状态的挖矿病毒有复苏迹象,不仅“驱动人生”挖矿病毒出现频繁更新,而且还出现了多个新型挖矿病毒。近日,亚信安全截获一系列shell脚本与ELF文件,其隐藏在受感染Linux设备的计划任务中,通过定时任务的方式下载并执行挖矿程序和后门程序。
详细分析
Shell样本分析
文件名:update.sh
MD5:66881d8da46aca98e0c2aa2flaf530c0
文件大小:1372字节
格式:Linux Shell
该样本首先获取当前用户ID,用于后续判断是否为管理员组;获取CPU架构,以下载相匹配的恶意程序;获取设备公网IP地址,用于后续判断下载何种恶意程序。
hxxp://pw.pwndns.pw/servers/server.txt中总计列出8458条公网IP地址。当受感染设备的公网地址匹配到server.txt的列表,将下载后门程序、提升执行权限。如果脚本运行的用户属于Root组,还会进一步打开SSH服务;当受感染设备未匹配到server.txt中列出的地址时,将下载挖矿程序、提升执行权限。
下图是此脚本的运行逻辑
下载的挖矿程序分析
文件名:x86_64_miner
MD5:812C64B55D4A28D902BF155530930B68
文件大小:2556332 字节
格式:ELF
是否有壳:UPX3.95
该挖矿程序带有UPX3.95壳,脱壳后发现其是根据Xmrig程序编写的挖矿程序,带有pwnRig字符串。
其通过访问/proc/hwloc-nofile-info和/proc/cpuinfo,获取CPU相关信息。
通过抓包获取到钱包地址为:
46VfQmxKRmjSsMRYux3r6qJvxwdVCmZfUFkPqt1uUfikSSy2wJFbcDzdX2ZuH4hDzs7xS8Nsy5orNTMtQUJADuavC2vV1Rp
下载的后门程序分析
文件名:x86_64
MD5:4FF3BA68D0F154E98222BAD4DAF0F253
文件大小:188648 字节
格式:ELF
是否有壳:UPX3.95
该后门程序同样带有UPX3.95壳,脱壳后发现其是多功能后门程序,其可以连接到IRC中继聊天C&C服务器。
通过PID,PPID和Time组成nick昵称,区分不同用户。
通过发送指令,可以对客户端执行如下操作:
| 指令 | 功能 |
|---|---|
| 376 | 加入频道 |
| 433 | 生成一个新的nick name |
| NICK | 修改客户端Nick |
| Tsunami | 发起DDOS攻击 |
| KILLALL | 中止DDOS攻击 |
| Pan | 发起SYN flood |
| UDP | 发起UDP flood |
| Enable | 允许从此客户端发出的所有packet |
| Disable | 禁止从此客户端发出的所有packet |
| GET | 下载文件 |
376:加入频道:
433:生成一个新的nick name:
NICK:修改客户端Nick
Tsunami:发起DDOS攻击
KILLALL:中止DDOS攻击
Pan:发起SYN flood
UDP:发起UDP flood
Enable:允许从此客户端发出的所有packet
Disable:禁止从此客户端发出的所有packet
GET:下载文件
HELP:显示指令用法,列出了所有可用指令及功能
相关脚本文件分析
文件名:reboot.sh
MD5:ed445fa9bfa00d1235f44679c7023c6a
文件大小:2541字节
格式:Linux Shell
