年末將至,Mirai挖礦致使機器不休假
近日,深信服安全團隊基於SIP產品在國內發現一種新型的Mirai變種,該變種會進行門羅幣挖礦並且通過SSH爆破來實現傳播。
整個流程如下:
0×01 系統呼叫下載器
然後我們分析一下另一個程式DDG這個檔案,這個檔案就是一個下載器,下載母體。
該程式使用了大量的內聯彙編,通過系統呼叫來實現下載的功能,容量體積更小,減少了被殺軟引擎識別的風險。具體的系統呼叫可以在 https://syscalls.kernelgrok.com/ 查詢。
我們使用strace來觀察一下這個程式的行為,連線了5.63.159.203下載母體檔案dl
0×02 多功能變種Mirai 母體
該Mirai母體已被多家引擎識別。
跟蹤一下母體的行為。
程式將通過系統呼叫unlink將自身給刪除了,這裡說明一點,母體會一直執行,所以遇到這種找不到檔案,但是母體還在執行的程式,可以通過查詢PID, 然後進入/proc/PID/ 目錄下,找到exe,使用cat /proc/PID/exe >> mom_exe,可以拿到母體檔案,如果直接將母體程序幹掉,就拿不到這個檔案了。本例有拿到下載器,所以可以通過下載器下載。
檢查是否存在重啟訊號裝置watchdog(看門狗),如果檢測到則修改許可權,讓watchdog失效
然後檢測同行的比特幣挖礦軟體,通過使用md5來識別。
將http, https, ftp的代理資訊寫入.bashrc檔案中。
下載挖礦軟體到/tmp目錄並且執行,挖礦軟體的名稱採用隨機字串的方式,長度不固定
可以看到建立了一個隨機埠監聽,等待連線,並且開啟了一個ssh暴力破解攻擊其他主機,實現傳播,被攻擊的為內網IP和隨機生成IP。
清除使用者的計劃任務
並且程式擁有著守護挖礦程序的能力,當把挖礦程序直接殺掉,母體會重新下載挖礦病毒並執行,所以這裡是導致出現病毒檔案再次出現,但是並沒有執行的原因。
擁有著一個基本所有功能的Mirai,功能太過複雜,使用超多的fork和syscall彙編內聯程式碼。
增加分析人員的分析難度。
0×03 挖礦程式
同樣也被各大引擎識別了,這個是門羅幣(XMR)挖礦,XMR由於匿名性被黑產熱愛。
strace看一下程式的執行流程,連線礦池,傳送任務,接受任務結果
首先通過gulf.moneroocean.stream這個地址登入礦工的資訊,錢包等,然後連線礦池xmr.crypto-pool.fr(139.99.100.250)進行挖礦
我們抓取了一些資料包,可以發現程式通訊的挖礦資料
我們可以看到一次完整的挖礦通訊的資料
0×04 分析結論
該程式經過測試,在執行病毒母體後,重啟之後並不會再次出現感染情況。上次的重啟重新下載了出現病毒檔案初步估計是沒有清理乾淨,清理順序的問題。
挖礦資訊:
礦工資訊驗證地址:gulf.moneroocean.stream
礦池地址:xmr.crypto-pool.fr
錢包地址:489nAwmiY4s8X95kvPDVvUaHsqmrs1NwsVKoBbqKftYzDAQJVUryJwJ7WMKansCeowe4vxg42p9VtbDKTPxkKp1pUXTnA5X
86V42mJ86Dg5uw9TYLWairZrjkhK1LkkiaAyDHeLTJhfEi1c9XbFPTHLCJWtM12Sv16P9aM6U64Ekc9drZ8or55Y3SqqiQK
IOC(MD5):
挖礦:04e28bfd6f7e58701a7654d53d279100
下載器:d530cab45f1234ce35c0b56689516f42
Mirai母體:9c699434f72e798ac42f72a82a30f997
0×05 解決方案
清除方式:
將母體的所有程序先全部使用kill -9 強行殺死
然後到/tmp目錄下將挖礦檔案刪掉(如果母體檔案dl還在,也將母體檔案刪除)
然後使用kill -9 將挖礦程序幹掉。
病毒檢測查殺:
1、深信服EDR產品、SIP產品及防火牆等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測。
病毒防禦:
1、修補相關的web漏洞,防止被再次入侵。 2、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。 3、病毒通過ssh傳播,如果可以,可以將ssh的密碼登入方式換成金鑰登入。可防止ssh爆破傳播。
全世界的安全研究專家們經常都需要對惡意軟體來進行逆向工程分析,這樣才能更加清楚地瞭解到網路攻擊者的攻擊方式以及真正意圖。
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM