WorkMiner挖礦病毒分析處理指導(dǎo)手冊(cè)

WorkMiner挖礦病毒分析及處理指導(dǎo)手冊(cè)樣本信息病毒名WorkMiner(Trojan.CoinMiner/Linux!1.D8A3)文件大小4.17MB(32位程序)4.44MB(64位程序)文件MD506E1F988471336D788DA0FCAA29ED50B(32位程序)429258270068966813AA77EFD5834A94(64位程序)文件類型ELF文件加殼情況被修改的UPX殼編程語(yǔ)言Go語(yǔ)言病毒類型挖礦木馬傳播方式SSH弱口令爆破危害概述占用計(jì)算機(jī)運(yùn)算資源及網(wǎng)絡(luò)資源簡(jiǎn)介：一種挖掘加密貨幣（門羅幣）的挖礦病毒，嚴(yán)重消耗資源影響正常業(yè)務(wù)，自帶暴力破解SSH登陸的模塊，并探測(cè)其他終端并進(jìn)行SSH暴力破解。病毒運(yùn)行分析：登陸系統(tǒng)后，使用top命令可以看到work32進(jìn)程排在第一位，嚴(yán)重消耗系統(tǒng)資源。自帶暴力破解SSH登陸的模塊，通過(guò)netstat-an命令看到中招的主機(jī)在登陸很多主機(jī)的SSH端口在/tmp/目錄釋放并運(yùn)行挖礦病毒xmr

，生成挖礦配置文件config.json礦池地址：xmr.crypto-pool.fr:6666"，錢包地址：47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV可以看到此錢包應(yīng)該是最近開(kāi)啟的，目前已經(jīng)挖取大約1650人民幣的門羅幣。5、設(shè)定自啟動(dòng)項(xiàng)與守護(hù)進(jìn)程，確保病毒可持續(xù)存活在系統(tǒng)中守護(hù)進(jìn)程：./work32-deamon、./work64-deamon病毒詳細(xì)分析病毒運(yùn)行期間會(huì)執(zhí)行以下操作：使用系統(tǒng)命令篩選并結(jié)束機(jī)器內(nèi)運(yùn)行的其他挖礦木馬進(jìn)程，確保獨(dú)占資源ps-ef|grepddg|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepxmr|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|greptcp:|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepx86_|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepminer|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|greppool.|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepmonero|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepprohash|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepstratum|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep.daemond|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepCircle_MI|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepkworker34|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepcryptonight|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/tmp/thisxxs|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/usr/bin/.sshd|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/opt/yilu/mservice|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/opt/yilu/work/xig/xig|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/usr/bin/bsd-port/getty|grep-vgrep|awk'{print$2}'|xargskill-9釋放文件/tmp/xmr（XMRig挖礦程序）/tmp/config.json（挖礦程序配置文件）/tmp/secure.sh（封禁登陸失敗的IP地址）/tmp/auth.sh（封禁登陸失敗的IP地址）32位系統(tǒng)下釋放/usr/.work/work32（病毒母體）64位系統(tǒng)下釋放/usr/.work/work64（病毒母體）圖：寫入的config.json部分內(nèi)容圖：寫入的secure.sh文件內(nèi)容圖：寫入的auth.sh文件內(nèi)容向root用戶的SSH已授權(quán)公鑰文件尾部追加攻擊者的SSH公鑰圖：相關(guān)代碼圖：被追加的公鑰在/var/spool/cron/crontabs/root和/etc/crontab中創(chuàng)建計(jì)劃任務(wù)，實(shí)現(xiàn)挖礦程序的定時(shí)執(zhí)行32位系統(tǒng)下內(nèi)容為：0****root/usr/.work/work3264位系統(tǒng)下內(nèi)容為：0****root/usr/.work/work64調(diào)用iptables開(kāi)放如下端口：UDP：8000TCP：8017圖：相關(guān)代碼使用mv命令對(duì)/usr/bin/curl和/usr/bin/wget進(jìn)行重命名mv/usr/bin/curl/usr/bin/curl1&mv/usr/bin/wget/usr/bin/wget1嘗試使用內(nèi)置的弱密碼字典對(duì)網(wǎng)內(nèi)其他機(jī)器進(jìn)行登陸嘗試使用到的弱密碼類型：日期對(duì)應(yīng)的數(shù)字形式（如19830803）、常見(jiàn)的英文單詞、常見(jiàn)的人名漢語(yǔ)拼音（如jiangbin）、其他常用密碼及變體（如password、P@ssword）圖：部分代碼連接P2P僵尸網(wǎng)絡(luò)圖：部分代碼處置及防范建議病毒使用SSH弱口令爆破進(jìn)行傳播，請(qǐng)確保機(jī)器上使用的SSH密碼有足夠高的強(qiáng)度，被感染的機(jī)器請(qǐng)立即更改SSH密碼對(duì)于已經(jīng)感染的機(jī)器，除了使用安全產(chǎn)品進(jìn)行查殺之外，還需要手工清除病毒在/root/.ssh/authorized_keys留下的公鑰和病毒留下的計(jì)劃任務(wù)，具體需要清除的內(nèi)容參見(jiàn)上面的分析報(bào)告。如相關(guān)機(jī)器無(wú)公鑰登陸需求，也可直接刪除相關(guān)文件此外，建議相關(guān)機(jī)器排查如下問(wèn)題避免以后遭受其他病毒入侵Redis未授權(quán)訪問(wèn)：Redis默認(rèn)配置下是6379端口是沒(méi)有認(rèn)證的，一旦監(jiān)聽(tīng)0.0.0.0，那么內(nèi)網(wǎng)任何機(jī)器都可以訪問(wèn)，而這個(gè)可以被病毒利用向目標(biāo)機(jī)器寫入crontab實(shí)現(xiàn)病毒駐留不使用的話建議直接封禁端口，必須用的就配置授權(quán)訪問(wèn)Web應(yīng)用程序相關(guān)漏洞：目前病毒主要利用的漏洞涉及到的Web應(yīng)用程序?yàn)镋lastic

Search、Oracle

WebLogic建議及時(shí)更新版本手動(dòng)應(yīng)急方案：清理系統(tǒng)定時(shí)任務(wù)crontab-e保留方框中的，其他的刪除殺掉病毒進(jìn)程kill-9$(ps-ef|grepwork32|grep-vgrep|awk'{print$2}')kill-9$(ps-ef|grepwork64|grep-vgrep|awk'{print$2}')kill-9$(ps-ef|grepxmr|grep-vgrep|awk'{print$2}')刪除病毒文件rm-rf

/usr/.work/rm-rf

/tmp/xmrrm-rf

/tmp/config.jsonrm-rf

/tmp/secure.shrm-rf

/tmp/auth.sh修改ssh登錄配置，禁止root登錄新增用戶test，并設(shè)置密碼為Test123！修改ssh的配置文件，并重啟ssh服務(wù)重啟ssh服