某挖矿木马分析
基本信息
报告名称:某挖矿木马分析
作者:sshui
分析时间:2023年4月25日
样本信息
.sh下载器
x64挖矿木马
x32挖矿木马
行为分析
- 创建定时任务
- 向
/etc/crontab、/var/spool/cron/crontabs/root、/etc/cron.d/root、/var/spool/cron/root写入定时任务 - 修改
/etc/hosts文件 - 根据受害者系统架构的不同下载x64或x32的挖矿木马文件并名为
5e87b7d58f59c0a4 - 覆盖
/usr/local/sbin/sshd - 利用受害者保存的公钥,远控其他主机下载木马进行传输
详细分析
.sh下载器
木马首先添加了两个每10分钟执行一次的定时任务,试图从远程下载或本地获取木马程序并运行。
接下来木马尝试是否对/usr/local/bin/、/usr/libexec/、/usr/bin/这三个目录具有修改权限,并将当前木马所在目录加入可执行目录。然后木马先检查当前目录是否存在挖矿木马文件5e87b7d58f59c0a4,若不存在则从远程下载对应系统架构的挖矿木马并命名为5e87b7d58f59c0a4,然后将/usr/local/sbin/sshd文件覆盖,进行备份。
木马为挖矿木马文件添加权限,然后运行下载的挖矿木马文件。至此,木马对受害者的感染已完成,接下来就是传播部分了。
木马读取root和其他用户的密钥,远程控制其他服务器下载木马文件进行传播。
挖矿木马
- 获取当前可执行文件
/proc/self/exe - 将木马藏入内存空间运行
- 修改
/etc/hosts文件内容与权限 - 向
/etc/cron.d/root文件写入内容,并修改权限时间戳等 - 向
/var/spool/cron/root文件写入内容,并修改权限时间戳等 - 向
/var/spool/cron/crontabs/root文件写入内容,并修改权限时间戳等
修复及防范措施
- 清理木马进程
- 清理定时任务和定时任务文件
- 清理
/usr/local/sbin/sshd、5e87b7d58f59c0a4等文件 - 安装杀毒软件防御挖矿木马攻击。
- 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件。









