黑客们利用linux病毒DDG挖矿

背景概述近日,深信服安全团队捕获一枚Linux、windows双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过redis漏洞传播的挖矿木马DDG的最新变种,使用当前最新的go语言1.10编译使…

背景简述 最近,令人信服的安全团队捕捉了Linux和Windows双平台的发掘病毒样本。安全人员分析并确定该特洛伊木马是使用最新的Go语言1.10编译和使用的redis系统漏洞传播的发掘木马病毒DDG的最新版。大量的基础库文件,木马病毒会耗费大量的服务器空间,无法清除并具有内部网外扩散功能。 DDG发掘病毒感染是在Linux系统下运作的故意发掘病毒感染。该病毒感染自去年至今一直活跃性,已经挖到超出1000万人民币的贷币。病毒样本大概1岁。

当时,已经开发设计出DDG.3012/DDG3013/DDG3020的多种变体。

主要功能如下: 文件夹名称 影响 计算机服务 水平移动控制模块,包括漏洞检测控制模块,如mssql redis thinkphp weblogic Sysguard 根据获得的系统版本号下载有目的性的Payload执行,Cc通讯控制模块 Sysupdate Xmrige开源系统发掘程序体 Update.sh 下载其他病毒感染控制模块,消除其他发掘过程,并安排任务存活 Config.json 发掘配置文件,包括钱夹详细地址和发掘主要参数 0x1现象叙述 根据安全认知SIP报警提示,服务器每3小时从Internet下载一次update.sh故意脚本制作连接详细地址: 43.245.222.57: 8667/6Hxxxxxx/update.sh  

同时,外界网络起动redis扫描仪: 通过威协谍报研究会,发现并未包括网页地址的基本信息,并且查寻提示非故意: 最迟的时间是4月8日: 0x2服务器常见故障排除 安全人员发现当前开采过程的当前Cpu已达到约399%,并且系统进程名字和PID在一定时间内分离:  该程序的主目录是在tmp下: 由tmp文件目录中的病毒感染主体建立的实例建立为nobody:  每30分钟同时使用定时任务进行长期存活:  Update.sh脚本制作主要实现更智能,最大达到15KB。主要功能如下:

1. 病毒体的病毒感染文件下载

2. 杀掉其他开采过程

3. 写authorized_keys实现root无密码登录

4. 建立计划任务

5. 加上iptables策略,消除系统日志等。

为root写一个无密码登录,写出authorized_keys,如下如图: 0x3病毒样本分析 Sysupdate控制模块 该程序是用Go撰写的,由于没有标记文件,因此这些涵数都是qq群匿名的。 Go语言编译器的不同版本号非常不同,因此您需要在分析过程中鉴别版本信息。特洛伊木马的编译器版本号是1.10:

从功能名字可以看得出,该部件的主要功能是使用内网扫描仪和横着移动。继续跟踪相关功能,找寻具体功能;该程序导进多个控制模块,对Intranet中不同服务的进攻包括mssql redis thinkphp weblogic和其他系统漏洞:Sysguard控制模块 这个部件的主要任务是打开狗的一些方法。

继续追踪并发现内部有一些不同的平台能够鉴别。使用部件2的扫描仪结果,下载进攻有效负荷并执行相应的Os系统命令以完成进攻任务。因此判断发掘程序可以在win和linux下运作:  通过Cc网络服务器实现的一连串方法,选定功能的功能是获得windows的powershell: Sysupdate控制模块 此部件是使用开源系统xmrig的发掘部件的发掘部分:  

0x4加强建议 1.清理系统中所有用户的相关故意定时任务;

2.删掉tmp文件目录中的故意病毒感染文件; 3.修补相关系统漏洞,使用强登陆密码,并成redis mssql等系统配置访问控制管理权限; 4

.使用深度令人信服的网络安全产品浏览安全的云脑,并使用云检查服务实时检测新的威协;

5.建议企业对整个网络进行安全大检查和病毒防护扫描仪,以提升保护。

建议使用Deep Confidence Security Awareness + Firewall + EDR来检测,停止和保护内部网络。   IOC: 网站地址: htpp://pixeldrain.Com/接口文档/file/3myaXqqZ .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/sysupdate .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/update.sh .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/update.sh .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/config.json .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/config.json htpp://pixeldrain.Com/接口文档/file/aQWIprw .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/networkservice