基本信息

报告名称:某挖矿木马分析

作者:sshui

分析时间:2023年4月25日

样本信息

.sh下载器

image-20230424163031103

x64挖矿木马

image-20230424162937762

x32挖矿木马

image-20230424163119459

行为分析

  1. 创建定时任务
  2. /etc/crontab/var/spool/cron/crontabs/root /etc/cron.d/root/var/spool/cron/root写入定时任务
  3. 修改/etc/hosts文件
  4. 根据受害者系统架构的不同下载x64或x32的挖矿木马文件并名为5e87b7d58f59c0a4
  5. 覆盖/usr/local/sbin/sshd
  6. 利用受害者保存的公钥,远控其他主机下载木马进行传输

详细分析

.sh下载器

image-20230424164350955

木马首先添加了两个每10分钟执行一次的定时任务,试图从远程下载或本地获取木马程序并运行。

image-20230424164632638

接下来木马尝试是否对/usr/local/bin//usr/libexec//usr/bin/这三个目录具有修改权限,并将当前木马所在目录加入可执行目录。然后木马先检查当前目录是否存在挖矿木马文件5e87b7d58f59c0a4,若不存在则从远程下载对应系统架构的挖矿木马并命名为5e87b7d58f59c0a4,然后将/usr/local/sbin/sshd文件覆盖,进行备份。

image-20230424165309655

木马为挖矿木马文件添加权限,然后运行下载的挖矿木马文件。至此,木马对受害者的感染已完成,接下来就是传播部分了。

木马读取root和其他用户的密钥,远程控制其他服务器下载木马文件进行传播。

挖矿木马

  1. 获取当前可执行文件/proc/self/exe
  2. 将木马藏入内存空间运行
  3. 修改/etc/hosts文件内容与权限
  4. /etc/cron.d/root文件写入内容,并修改权限时间戳等
  5. /var/spool/cron/root 文件写入内容,并修改权限时间戳等
  6. /var/spool/cron/crontabs/root 文件写入内容,并修改权限时间戳等

image-20230424182708657

image-20230425083603816

image-20230425083322737

修复及防范措施

  1. 清理木马进程
  2. 清理定时任务和定时任务文件
  3. 清理/usr/local/sbin/sshd5e87b7d58f59c0a4等文件
  4. 安装杀毒软件防御挖矿木马攻击。
  5. 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件。