aminer挖矿木马活动分析
时间 : 2023年06月21日 来源: 安天CERT
1.aminer挖矿木马概览
近期,安天CERT通过捕风蜜罐系统[1]捕获了一批活跃的挖矿木马样本,该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击。由于其初始脚本中下载挖矿文件的名称为“aminer.gz”,因此安天CERT将该挖矿木马命名为“aminer”。
表1-1 aminer挖矿概览
|
活跃挖矿概览 |
说明 |
|
挖矿木马名称 |
aminer |
|
挖矿木马主要传播方式 |
SSH和Redis弱口令暴力破解 |
|
出现时间 |
2022年6月 |
|
活跃时间 |
2023年5月 |
|
挖矿币种 |
门罗币 |
|
针对系统 |
Linux |
|
主要技术特点 |
持久化;irc后门;隐藏行为等 |
经验证,安天智甲终端防御系统(简称IEP)Linux版本可实现对该挖矿木马的有效查杀。
2.样本功能与技术梳理
aminer挖矿木马初始攻击脚本实际由一连串指令组成,其中包括写入指定DNS服务器地址、使用yum包管理器安装一系列工具和库、下载install.tgz文件解压后执行install脚本、下载ns2.jpg文件内存执行、下载aminer.gz文件解压后执行start脚本进行挖矿。
install.tgz文件中包含很多与系统文件重名的恶意文件,如top等。这些文件均由install脚本调用,主要功能包括添加SSH公钥、替换系统文件如top、netstat、crontab等、执行irc客户端建立后门、过滤端口号为20和43的网络连接等。
ns2.jpg实际为Perl语言编写的脚本文件,用于实现ShellBot功能。运行后会连接irc服务器,端口号为20。aminer.gz压缩包中包含针对两种操作系统架构的挖矿程序,start脚本执行后会根据当前受害者的操作系统架构决定使用哪个挖矿程序,创建一个服务进行持久化,最后执行挖矿程序进行挖矿。
2.1 oto(初始攻击脚本)
样本初始攻击脚本整体流程及其核心技术如下:
1.写入DNS服务器地址,其中包括“114.114.114.114”、“114.114.115.115”、“8.8.8.8”、“1.1.1.1”。
2.安装一系列工具和库,其中包括gcc、cmake、wget、curl、nano等。
3.内存执行ns2.jpg,该文件实际为脚本文件,采用Perl语言编写的ShellBot,运行后会连接irc服务器(irc.tung-shu.cf),端口号为20,频道为#ROOT。
4.使用start脚本执行挖矿程序进行挖矿,矿池地址为3389.xiao.my.id:3389。
2.2 install.tgz(持久化)
install.tgz压缩包中包含许多文件,各文件功能如下表所示:
表2-1 install.tgz中各文件功能
|
文件名 |
功能 |
|
authorized_keys |
SSH密钥存放文件 |
|
cleaner.c |
清理痕迹工具 |
|
crond.c |
irc客户端 |
|
crontab |
判断是否为root权限 |
|
decode.c |
读取文件/usr/share/boot.sync中的内容 |
|
execute |
初始化运行monitor样本,并启用和启动crond和cron服务 |
|
flush |
配置SSH服务的访问规则,仅允许使用添加的公钥进行连接 |
|
install |
持久化操作 |
|
monitor.c |
irc客户端 |
|
netstat |
过滤端口号为20和43的网络连接,以及包含字符串“send”、“dhcl”和“sendmail”的网络连接 |
|
top |
执行替换过的flush和execute命令 |
|
where.c |
irc客户端 |
|
whereis |
运行whereos文件,并在后台执行恶意命令 |
3.挖矿木马落地排查与清除方案
3.1 挖矿木马落地识别
1.账户名:
● more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
注释:使用命令查找除root帐号外,其他帐号是否存在sudo权限。
● daemon
注释:恶意账户,允许daemon用户执行任何命令而无需输入密码。
2.非授权SSH公钥:
● /root/.ssh/authorized_keys
● /usr/sbin/.ssh/authorized_keys
● /sbin/.ssh/authorized_keys
3.文件及目录:
● /root/.ssh
● /bin/crond
● /bin/where
● /bin/execute
● /bin/monitor
● /bin/netstat
● /bin/flush
● /bin/clean
● /sbin/.ssh
● /sbin/nologin
● /usr/sbin/.ssh
● /usr/sbin/nologin
● /usr/bin/netstatz
● /usr/bin/crontab
● /usr/bin/power
● /usr/bin/whereis
● /usr/bin/whereos
● /usr/bin/top
● /usr/sbin/top
● /usr/sbin/baca
● /etc/cron.d
● /etc/cron.daily
● /etc/cron.hourly
● /etc/cron.monthly
● /etc/cron.weekly
● /etc/sudoers
● /var/lib/dhclient/dhclient
● /var/lib/dhclient/config.json
● /usr/local/src/*
4.服务执行路径:
[Unit]
Description=SDCard System Service
[Service]
User=sshd
ExecStart=/var/lib/dhclient/dhclient
Restart=always
Nice=10
[Install]
WantedBy=multi-user.target
5.进程名称:
● CROND
● crond
● dhclient
6.网络
● 3389.xiao.my.id:3389
● irc.tung-shu.cf:20
● mircd.xiao.my.id.id
3.2 清除方案
1.删除SSH公钥
● chattr -ia /root/.ssh/authorized_keys /usr/sbin/.ssh/authorized_keys /sbin/.ssh/authorized_keys
● rm /root/.ssh/authorized_keys /usr/sbin/.ssh/authorized_keys /sbin/.ssh/authorized_keys
2.删除服务
● rm /etc/systemd/system/sdcard.service
3.删除文件及目录
● chattr -ia /root/.ssh /bin/crond /bin/where /bin/execute /bin/monitor /bin/netstat /bin/flush /bin/clean /sbin/.ssh /sbin/nologin /usr/sbin/.ssh /usr/sbin/nologin /usr/bin/netstatz /usr/bin/crontab /usr/bin/power /usr/bin/whereis /usr/bin/whereos /usr/bin/top /usr/sbin/top /usr/sbin/baca /etc/cron.d /etc/cron.daily /etc/cron.hourly /etc/cron.monthly /etc/cron.weekly /etc/cron.daily/cron.daily /etc/cron.hourly/cron.hourly /etc/sudoers
● rm -rf /root/.ssh /bin/crond /bin/where /bin/execute /bin/monitor /bin/netstat /bin/flush /bin/clean /sbin/.ssh /sbin/nologin /usr/sbin/.ssh /usr/sbin/nologin /usr/bin/netstatz /usr/bin/crontab /usr/bin/power /usr/bin/whereis /usr/bin/whereos /usr/bin/top /usr/sbin/top /usr/sbin/baca /etc/cron.d /etc/cron.daily /etc/cron.hourly /etc/cron.monthly /etc/cron.weekly /etc/cron.daily/cron.daily /etc/cron.hourly/cron.hourly /etc/sudoers
4.删除挖矿程序
● rm -rf /var/lib/dhclient/dhclient /var/lib/dhclient/config.json /usr/local/src/*
5.结束进程
● dhclient
● crond
● CROND
6.重新启动操作系统
● 因恶意代码在内存中执行,并未落地,所以需要重新启动操作系统。
7.注意事项
● 因该挖矿木马会替换操作系统中的top、netstat等文件,在清除方案中会删除恶意替换过的文件,如需使用这些命令需重新安装。
4.防护建议
针对挖矿攻击,安天建议企业采取如下防护措施:
1.安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;
2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;
4.及时更新第三方应用补丁:建议及时更新第三方应用如Redis等应用程序补丁;
5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
6.主机加固:对系统进行渗透测试及安全加固;
7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
8.安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)可实现对该挖矿木马的有效查杀。
图4-1 安天智甲可实现对该挖矿木马的有效查杀
5.事件对应的ATT&CK映射图谱
针对攻击者投放挖矿木马的完整过程,安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。
图5-1 事件对应的ATT&CK映射图谱
攻击者使用的技术点如下表所示:
表5-1 事件对应的ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
侦察 |
主动扫描 |
扫描22和3306端口 |
|
初始访问 |
利用外部远程服务 |
利用SSH远程服务访问 |
|
执行 |
利用命令和脚本解释器 |
使用Shell脚本 |
|
持久化 |
创建或修改系统进程 |
创建服务 |
|
利用计划任务工作 |
创建计划任务 |
|
|
防御规避 |
修改文件和目录权限 |
修改文件和目录权限 |
|
隐藏行为 |
隐藏进程 |
|
|
删除信标 |
删除恶意文件自身 |
|
|
命令控制 |
使用应用层协议 |
使用irc协议 |
|
影响 |
资源劫持 |
占用CPU资源 |
6.IoCs
|
IoCs |
|
124.70.7.7 |
|
hxxp://124.70.7.7/install.tgz |
|
hxxp://124.70.7.7/ns1.jpg |
|
hxxp://124.70.7.7/ns2.jpg |
|
hxxp://124.70.7.7/ns3.jpg |
|
hxxp://124.70.7.7/aminer.gz |
|
3389.xiao.my.id:3389 |
|
irc.tung-shu.cf:20 |
|
mircd.xiao.my.id.id |
|
mircd.hokkien.my.id |
|
6AFD902FCBACBAFE7375E3C885741139 |
|
AB1D9528DAC5A2B42CCFC737DE5D0E8A |
|
C4983A3AFD6E9C09B1E4C6CB59EEDE81 |
|
311A7ED77DEFEB0BB99CAA5E46A1CB0B |
|
3D55920BABFB2B880D83282CF6B30E5D |