Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播
2021-08-18 12:35:01 Author: www.freebuf.com(查看原文) 阅读量:132 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

背景概述

近日,深信服终端安全团队、深信服安服应急响应中心团队监控到一款Linux系统下活跃的挖矿木马,且出现大面积感染的情况,该挖矿木马采用GO语言编译,根据其行为特点,安全专家将其命名为WorkMiner挖矿木马。

该挖矿病毒入侵终端后会占用主机资源进行挖矿,影响其他正常业务进程的运转,传播过程中病毒文件会修改防火墙的规则,开放相关端口,探测同网段其他终端并进行SSH暴力破解,容易造成大面积感染。

/受感染主机出现的异常进程/

病毒现象

1、病毒启动后,会释放如下文件:

/tmp/xmr (xmrig挖矿程序)

/tmp/config.json (xmrig挖矿配置文件)

/tmp/secure.sh (封禁爆破IP)

/tmp/auth.sh (封禁爆破IP)

/usr/.work/work64 (病毒母体文件)

2、病毒进程

./work32-deamon

./work64 -deamon

/tmp/xmr

/usr/.work/work32

/usr/.work/work64

/bin/bash /tmp/secure.sh

/bin/bash /tmp/auth.sh

3、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中创建计划任务:

4、修改防火墙规则,开放8000(udp) 和8017(tcp) 端口

5、/usr/bin/url、/usr/bin/wget 命令是否被重命名为/usr/bin/curl1和/usr/bin/wget1

技术分析

病毒样本加了UPX壳:

该挖矿木马是采用go语言编译的,脱壳后看到了golang相关的字符串:

经过解析后,函数列表如下:

木马启动后会先终结竞争对手的进程

随后释放config.json、secure.sh、auth.sh、xmrig等恶意文件,其中xmrig为挖矿程序

随后启动ssh爆破线程,对同网段其他终端发起ssh爆破进行传播;

连接P2P僵尸网络;

IOC

矿池域名:

xmr.crypto-pool.fr

矿池账号:

47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV

MD5:

06e1f988471336d788da0fcaa29ed50b

429258270068966813aa77efd5834a94

20552242cd4b5e8fa6071951e9f4bf6d


文章来源: https://www.freebuf.com/articles/system/285149.html
如有侵权请联系:admin#unsafe.sh