新型挖礦病毒藉助“海嘯”殭屍網絡發動DDOS攻擊
近期一直處於低迷狀態的挖礦病毒有復甦跡象,不僅“驅動人生”挖礦病毒出現頻繁更新,而且還出現了多個新型挖礦病毒。近日,亞信安全截獲一系列shell腳本與ELF文件,其隱藏在受感染Linux設備的計劃任務中,通過定時任務的方式下載並執行挖礦程序和後門程序。
詳細分析
Shell樣本分析
文件名:update.sh
MD5:66881d8da46aca98e0c2aa2flaf530c0
文件大小:1372字節
格式:Linux Shell
該樣本首先獲取當前用戶ID,用於後續判斷是否爲管理員組;獲取CPU架構,以下載相匹配的惡意程序;獲取設備公網IP地址,用於後續判斷下載何種惡意程序。
hxxp://pw.pwndns.pw/servers/server.txt中總計列出8458條公網IP地址。當受感染設備的公網地址匹配到server.txt的列表,將下載後門程序、提升執行權限。如果腳本運行的用戶屬於Root組,還會進一步打開SSH服務;當受感染設備未匹配到server.txt中列出的地址時,將下載挖礦程序、提升執行權限。
下圖是此腳本的運行邏輯
下載的挖礦程序分析
文件名:x86_64_miner
MD5:812C64B55D4A28D902BF155530930B68
文件大小:2556332 字節
格式:ELF
是否有殼:UPX3.95
該挖礦程序帶有UPX3.95殼,脫殼後發現其是根據Xmrig程序編寫的挖礦程序,帶有pwnRig字符串。
其通過訪問/proc/hwloc-nofile-info和/proc/cpuinfo,獲取CPU相關信息。
通過抓包獲取到錢包地址爲:
46VfQmxKRmjSsMRYux3r6qJvxwdVCmZfUFkPqt1uUfikSSy2wJFbcDzdX2ZuH4hDzs7xS8Nsy5orNTMtQUJADuavC2vV1Rp
下載的後門程序分析
文件名:x86_64
MD5:4FF3BA68D0F154E98222BAD4DAF0F253
文件大小:188648 字節
格式:ELF
是否有殼:UPX3.95
該後門程序同樣帶有UPX3.95殼,脫殼後發現其是多功能後門程序,其可以連接到IRC中繼聊天C&C服務器。
通過PID,PPID和Time組成nick暱稱,區分不同用戶。
通過發送指令,可以對客戶端執行如下操作:
| 指令 | 功能 |
|---|---|
| 376 | 加入頻道 |
| 433 | 生成一個新的nick name |
| NICK | 修改客戶端Nick |
| Tsunami | 發起DDOS攻擊 |
| KILLALL | 中止DDOS攻擊 |
| Pan | 發起SYN flood |
| UDP | 發起UDP flood |
| Enable | 允許從此客戶端發出的所有packet |
| Disable | 禁止從此客戶端發出的所有packet |
| GET | 下載文件 |
376:加入頻道:
433:生成一個新的nick name:
NICK:修改客戶端Nick
Tsunami:發起DDOS攻擊
KILLALL:中止DDOS攻擊
Pan:發起SYN flood
UDP:發起UDP flood
Enable:允許從此客戶端發出的所有packet
Disable:禁止從此客戶端發出的所有packet
GET:下載文件
HELP:顯示指令用法,列出了所有可用指令及功能
相關腳本文件分析
文件名:reboot.sh
MD5:ed445fa9bfa00d1235f44679c7023c6a
文件大小:2541字節
格式:Linux Shell
