歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

一起XMR門羅幣挖礦變種分析

來源:本站整理 作者:佚名 時間:2019-07-01 TAG: 我要投稿

近期觀測到,Linux下DDG變種挖礦病毒又在全國范圍內大規模爆發,該樣本通過SSH爆破進行攻擊,執行惡意程序,下 載偽裝成圖片的門羅幣挖礦木馬,設置為開機啟動并在后臺運行,木馬在入侵計算機之后,以該計算機本地密鑰登錄known_hosts文件中的服務器進行橫向滲透,攻擊局域網中的其他機器并控制這些機器,使得這些無法正常提供業務,對該樣本進行深入分析。
0×00 樣本介紹
樣本基本信息:
樣本
MD5
內容
xvfxprtb
e637e3252f452226c646079fcb6ac101
腳本下載圖片樣本
1414297571.jpg
35adcfb63017158c1f100201f850e8bd
偽裝成圖片,包含挖礦程序和配置文件
mysqlc_i686
18576051127ac0cc14664ba96c901dcb
32位遠控木馬
mysqlc_x86_64
2b95c896bea354a5a67cfcbd84fbb765
64位遠控木馬
mysqli_i686
0c3dc9a67f879e5cc9849d128b16b866
32位挖礦程序
mysqli_x86_64
784374992bddb9cf35aa92f098ec78b2
64位挖礦程序
0×01 詳細分析
xvfxprtb實際上是一個shell腳本,它是經過base64加密后的結果。

解密后得到shell腳本,該腳本的功能是下載1414297571.jpg樣本,并將該圖片樣本重命名為mysqli.tar.gz,解壓挖礦程序和程序的配置腳本,執行in腳本開始挖礦。

解壓mysqli.tar.gz后目錄結構:

執行in腳本,定時下載挖礦木馬任務,每 15 分鐘從 pastebin 上下載經過 base64 編碼的腳本自身并執行,并設置成開機啟動 。

還包含了kill_sus_proc()函數,清理自身挖礦進程 ,并殺掉CPU大于30%的進程。

該病毒通過識別內核版本,執行對應版本的病毒。

判斷挖礦程序的配置是否存在。

讀取.ssh目錄下known_hosts中的服務器地址,嘗試使用密鑰登錄后橫向傳播,攻擊局域網中的其他機器并控制這些機器。

查殺Stratum礦池協議的挖礦進程,使得自己獨占CPU資源。

清除歷史命令、除日志、郵件和服務器登陸行為。

礦機配置文件config.json如下:
{
    "algo": "cryptonight",
    "api": {
        "port": 0,
        "access-token": null,
        "id": null,
        "worker-id": null,
        "ipv6": false,
        "restricted": true
    },
    "autosave": true,
    "av": 0,
    "background": true,
    "colors": false,
    "cpu-affinity": null,
    "cpu-priority": null,
    "donate-level": 1,
    "huge-pages": true,
    "hw-aes": null,
    "log-file": null,
    "max-cpu-usage": 75,
    "pools": [
        {
            "url":"xmr.pool.minergate.com:45700",
            "user":"[email protected]",
            "pass": "x",

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺