事件概述
2021年8月16日起,奇安信安全团队监测到一波Workminer挖矿蠕虫的攻击,多个重要单位受到影响,奇安信安全团队在此提供相关的技术信息,提醒用户采取必要的措施以对抗此威胁。
威胁描述
此挖矿家族通过当前流行的Mozi Botnet投放,受影响用户需要检测并清除内网中的Mozi节点,扫描并处置Mozi蠕虫所利用的多个漏洞。漏洞列表如下:
详细分析
样本使用go语言编写,脱壳后壳看到大量golang字样:
具有清理掉其他挖矿竞争对手的功能:
文件的重命名及功能模块的释放,其中xmr与config.json为挖矿模块,/usr/.work为母体文件目录,secure.sh、auth.sh为获取封禁ip的脚本。
auth.sh:
secure.sh:
/var/spool/cron/crontabs/root
/etc/crontab
/etc/rc.local
/etc/rc.conf
/etc/rc.d/rc.local
Iptables修改防火墙规则开放端口:
支持以下标签:
标签 | 内容 | 作用 |
[dip] [/dip] | ip:port | 指定漏洞扫描和弱口令爆破时的下载地址 |
[atk] [/atk] | string | 指定ddos攻击类型和目标 |
[count] [/count] | url | 在该url登记Mozi节点 |
[ver] [/ver] | byte | 设置Mozi-DHT协议v字段中固定字节的值 |
[hp] [/hp] | string | 设置Mozi节点hash的前缀 |
[ud] [/ud] | url | 从该url下载木马程序并更新 |
[dr] [/dr] | url | 从该url下载程序并运行 |
[cpu] [/cpu] | string | 指定cpu类型,只有相同类型的Mozi节点会使用该config文件 |
[cpux] [/cpux] | – | 该标签控制cpu标签是否生效 |
[ss] [/ss] | string | 指定节点标记,只有带有相同标记的Mozi节点会使用该config文件 |
[ssx] [/ssx] | – | 该标签控制ss标签是否生效 |
[sv] [/sv] | byte | 控制Mozi节点是否用该config更新本地config文件 |
[rn] [/rn] | string | 执行指定的cmd指令或http请求 |
[nd] [/nd] | url | 指定Mozi节点要连接的DHT节点 |
威胁溯源
本次攻击确认为Workminer家族,在VirusTotal上可以观察到威胁相关样本的近期活动,该家族于2020-10-05就已经有了活动迹象:
处置建议
检查网络内系统SSH服务的口令强度,设置高强度口令以避免被暴力猜解进入,也可以修改SSH服务采用非默认的22端口以降低被攻击的可能性。
最新版本的天擎支持对此威胁相关恶意代码的查杀, 需要的时候可以进行全盘扫描。
检测并清除网络中的Mozi Botnet节点,修补相关的漏洞。
IOC
样本文件MD5 |
06e1f988471336d788da0fcaa29ed50b 429258270068966813aa77efd5834a94 b76dee9c18e1f93868c16bf485b53c3a |
文件路径 |
/tmp/secure.sh /tmp/auth.sh /usr/.work/work32 /usr/.work/work64 /tmp/xmr |
事件时间线
时间 | 内容 |
2021年8月16日 | 多个用户反馈受到攻击 |
2021年8月19日 | 通告完成以通知更多客户加强防范 |