yayaya Miner挖矿木马分析

时间 :  2023年05月11日  来源:  安天CERT

1.活跃yayaya挖矿木马概览


近期,安天CERT捕获了一批活跃的挖矿木马样本,该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本中多次出现“yayaya”字符串,且在Linux内核模块中会隐藏包含该字符串的所有信息,因此安天CERT将该挖矿木马命名为“yayaya Miner”。

表1‑1 活跃挖矿概览

活跃挖矿概览

说明

挖矿木马名称

yayaya Miner

挖矿木马主要传播方式

利用SSH弱口令暴力破解

出现时间

202211月底

活跃时间

20234月活跃

挖矿币种

门罗币

针对系统

Linux

主要技术特点

加密初始脚本;删除竞品挖矿;删除系统日志;使用开源工具隐藏内核模块等

经验证,安天智甲终端防御系统(简称IEP)Linux版本可实现对该挖矿木马的有效查杀。

2.样本功能与技术梳理


2.1 yayayaxxxxxxxx(初始攻击脚本,X表示随机字符)

yayaya Miner挖矿木马使用shc工具加密初始攻击脚本,利用该工具可以把Shell脚本转换成二进制可执行文件(ELF),使用RC4加密算法对其进行加密,初始攻击脚本文件会删除系统日志、创建yayaya等目录、删除特定IP的网络连接、下载门罗币挖矿程序以及使用开源工具Diamorphine进行隐藏操作等。将其挖矿进程注入内存后进行隐藏,增加反病毒软件的检测难度。

样本初始攻击脚本整体流程以及核心技术如下:

1. 初始文件实际为脚本文件,经过shc工具加密初始攻击脚本,可以把Shell脚本文件转换成二进制可执行文件(ELF)。该脚本首先会删除其他挖矿木马配置文件以及系统日志。

2. 使用防火墙命令查找并删除其他挖矿木马挖矿所创建的网络连接,删除后下载自身p.zip(挖矿程序)。

3. 使用开源工具Diamorphine对Linux内核模块和进程进行隐藏,具体为隐藏指定目录前缀“yayaya”,只要带有“yayaya”前缀的目录在系统中均不可见。将挖矿进程标记为隐藏,即在进程列表中不显示。指定内核模块名称为“nonono”。

4. 将当前进程的用户和组ID都设置为0,以此实现获取root权限的功能。

5. 编译内核模块nonono.ko并加载,使用kill命令向进程号为10000000的进程发送信号-63,触发模块的钩子函数。使用kill命令向指定进程发送信号-31,使其暂停执行。执行成功后删除/tmp/a目录中的所有文件及其子目录。

2.2 p.zip(挖矿程序)

p.zip压缩文件中包含一个名为“dsm_sa_ip”的文件,经判定,该文件为开源门罗币挖矿程序XMRig,采用加密通信的方式进行交互挖矿,矿池地址如下。

表2‑1 矿池地址

矿池地址

example.amax.fun:443

example.amax.fun:80

example.amax.fun:3333

example.gengzi.site:443

example.gengzi.site:80

example.gengzi.site:3333

example.inspur.gay:443

example.inspur.gay:80

example.inspur.gay:3333

example.sugon.store:443

example.sugon.store:80

example.sugon.store:3333

dasan.one:443

dasan.one:80

dasan.one:3333

172.104.170.240:443

172.104.170.240:80

172.104.170.240:3333

3.挖矿木马落地排查与清除方案


3.1 yayaya Miner落地识别

1. 文件(x表示随机字符)

文件名及路径:

/usr/lib/x86_64-linux-gnu/yayayaxxxxxxxx

/etc/sysconfig/yayaya/dsm_sa_ip

2. 网络侧排查

146.190.193.147:80(文件下载)

157.245.16.79:443(矿池连接)

3. 服务执行路径

ExecStart=/usr/lib/x86_64-linux-gnu/yayayaxxxxxxxx

4. 进程名称

八位随机字符串

5. 内核模块名称

nonono

3.2 清除方案

1. 将隐藏内核模块可见

kill -63 0

2. 查看隐藏的内核模块nonono

cat /proc/modules |head -n 10

3. 删除内核模块

rmmod nonono

4. 结束挖矿进程

使用top命令查看最大占用系统资源的进程pid,使用命令kill -9 pid结束对于进程,该挖矿程序进程路径一般以类似的字符串形式存在“/112d9a3b”。

5. 删除服务

rm -rf /usr/lib/systemd/system/yayayaxxxxxxxx.service

6. 删除恶意文件

rm -rf /usr/lib/x86_64-linux-gnu/yayayaxxxxxxxx

rm -rf /etc/sysconfig/yayaya

4.防护建议


针对挖矿攻击安天建议企业采取如下防护措施:

1.安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;

2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;

4.及时更新第三方应用补丁:建议及时更新第三方应用如WebLogic等应用程序补丁;

5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

6.主机加固:对系统进行渗透测试及安全加固;

7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

8.安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该挖矿木马的有效查杀。

图4‑1 安天智甲可实现对该挖矿木马的有效查杀

5.事件对应的ATT&CK映射图谱


针对攻击者投放挖矿木马的完整过程,安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图5‑1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示:

表5‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦察

主动扫描

扫描22端口

初始访问

利用外部远程服务

利用SSH远程服务访问

执行

利用命令和脚本解释器

使用Shell脚本

持久化

创建或修改系统进程

创建服务

提权

滥用提升控制权限机制

修改uidgid提升权限

防御规避

使用Rootkit

使用LKM Rootkit

隐藏行为

隐藏进程

删除信标

删除恶意文件自身

混淆文件或信息

使用shc工具混淆文件

命令与控制

使用加密信道

使用SSL加密信道

影响

资源劫持

占用CPU资源

6.IoCs


IoCs

172.104.170.240

example.amax.fun

example.gengzi.site

example.inspur.gay

example.sugon.store

dasan.one

hxxp://example.established.site/p.zip

hxxp://w.amax.fun/p.zip

hxxp://172.104.170.240/p.zip

参考资料


[1] 典型挖矿家族系列分析二 | TeamTNT挖矿组织
https://www.antiy.cn/research/notice&report/research_report/20221207.html
[2] Shc Linux Malware Installing CoinMiner
https://asec.ahnlab.com/en/45182/