DDG僵尸网络频繁更新攻击Linux系统挖矿 – 作者:腾讯电脑管家

一、概述

DDG僵尸网络最早出现于2017年，主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利，腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日，腾讯安全发现DDG僵尸网络频繁更新，在最近最近一个月内总共更新了9个版本，平均每周更新2个版本(DDG/5015-DDG/5023)。 

DDG挖矿木马执行后会请求下发配置文件，根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行，此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh，quartz_uninstall.sh卸载腾讯云云镜，阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 

病毒的挖矿行为会对服务器性能产生极大影响，​腾讯安全专家建议Linux管理员注意避免使用弱密码，及时修补系统漏洞，在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 

二、详细分析

1.DDG挖矿木马频繁更新

DDG挖矿木马更新频繁，最近一次更新是在3月31日，目前已更新到DDG/5023版本。从服务器文件变更时间看，最近一个月内(2月27-3月31)，总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)

DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname-m)，其中xxxx为版本号，通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。

2.下发配置文件

DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据，最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本

i.sh下载地址等信息。

3.病毒脚本i.sh

下载i.sh执行，下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有：

(1)  创建定时任务,每15分钟执行一次，定时任务主要内容是下载执行  i.sh

(2)  下载更新最新版的DDG病毒，目前已更新到DDG/5023版本

(3)  结束旧版本的木马进程。  

 

4.卸载云服务器安防产品

最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh，以卸载腾讯云云镜，阿里云安骑士等安全防护产品以实现自保护。

 

5.写hosts文件屏蔽竞争木马的网址

修改hosts文件，将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0，以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下

6.挖矿木马wordpress

下载门罗币挖矿木马wordpress，该木马由开源挖矿程序XMRig编译，挖矿木马执行后可以发现占用了极大的系统资源。

挖矿时使用矿池：

178.128.108.158:443

103.195.4.139:443

68.183.182.120:443 

安全建议： 

1.为Redis添加强密码验证，切勿使用弱口令；

2.定期对服务器进行加固，尽早修复企业服务器相关组件的安全漏洞，并及时进行漏洞修复；   

3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件，亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上；

4.推荐企业用户使用腾讯T-Sec高级威胁检测系统（御界）检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。  

 

IOCS:

Md5:

DDG(5015-5023)

e64b247d4cd9f8c58aedc708c822e84b

2c4b9d01d2f244bb6530b48df99d04ae

d2a81a0284cdf5280103bee06d5fe928

495dfc4ba85fac2a93e7b3f19d12ea7d

682f839c1097af5fae75e0c5c39fa054

dc87e9c91503cc8f2e8e3249cd0b52d7

c8b416b148d461334ae52aa75c5bfa79

f84a0180ebf1596df4e8e8b8cfcedf63

14fcb1d3a0f6ecea9e18eff2016bc271

 

挖矿木马:

d146612bed765ba32200e0f97d0330c8

 

i.sh:

bceb6cbb2657e9a04b6527161ba931d8

 

Ip：

67.205.168.20

47.94.153.241

61.129.51.79
47.101.35.209

 

矿池:

178.128.108.158:443

103.195.4.139:443

68.183.182.120:443

 

参考链接：

DDG挖矿僵尸网络利用SSH弱口令爆破攻击Linux服务器

https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA

来源：freebuf.com 2020-04-02 15:39:03 by: 腾讯电脑管家