Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播——流量测:暴力破解、P2P僵尸网络

Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播
深信服千里目安全实验室 2021-08-18 11:35:01 72174

背景概述

近日,深信服终端安全团队、深信服安服应急响应中心团队监控到一款Linux系统下活跃的挖矿木马,且出现大面积感染的情况,该挖矿木马采用GO语言编译,根据其行为特点,安全专家将其命名为WorkMiner挖矿木马。

该挖矿病毒入侵终端后会占用主机资源进行挖矿,影响其他正常业务进程的运转,传播过程中病毒文件会修改防火墙的规则,开放相关端口,探测同网段其他终端并进行SSH暴力破解,容易造成大面积感染。

/受感染主机出现的异常进程/

病毒现象

1、病毒启动后,会释放如下文件:

/tmp/xmr (xmrig挖矿程序)

/tmp/config.json (xmrig挖矿配置文件)

/tmp/secure.sh (封禁爆破IP)

/tmp/auth.sh (封禁爆破IP)

/usr/.work/work64 (病毒母体文件)

2、病毒进程

./work32-deamon

./work64 -deamon

/tmp/xmr

/usr/.work/work32

/usr/.work/work64

/bin/bash /tmp/secure.sh

/bin/bash /tmp/auth.sh

3、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中创建计划任务:

4、修改防火墙规则,开放8000(udp) 和8017(tcp) 端口

5、/usr/bin/url、/usr/bin/wget 命令是否被重命名为/usr/bin/curl1和/usr/bin/wget1

技术分析

病毒样本加了UPX壳:

该挖矿木马是采用go语言编译的,脱壳后看到了golang相关的字符串:

经过解析后,函数列表如下:

木马启动后会先终结竞争对手的进程

随后释放config.json、secure.sh、auth.sh、xmrig等恶意文件,其中xmrig为挖矿程序

随后启动ssh爆破线程,对同网段其他终端发起ssh爆破进行传播;

连接P2P僵尸网络;

IOC

矿池域名:

xmr.crypto-pool.fr

矿池账号:

47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV

MD5:

06e1f988471336d788da0fcaa29ed50b

429258270068966813aa77efd5834a94

20552242cd4b5e8fa6071951e9f4bf6d

 

本文作者:深信服千里目安全实验室, 转载请注明来自FreeBuf.COM

 

 

补充:https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AXtR7IJ9qO1C-f6PQG_k&env=&time=&sha1=2fa461cd8f0614dfb86f845aef47c42910370b00

DNS (DNS总数6,当前显示6)
解析域名
IP/域名
归属地
请求类型
ASN
bttracker.debian.org
bttracker.acc.umu.se
2 )
-/-
2 )
A
-
2 )
dht.transmissionbt.com
212.129.33.59
2 )
法国/法兰西岛大区
2 )
A
AS12876 Online S.a.s.
2 )
router.bittorrent.com
67.215.246.10
美国/加利福尼亚州
 
A
AS8100 ASN-QUADRANET-GLOBAL
 
router.utorrent.com
82.221.103.244
冰岛/大雷克雅未克区
 
A
AS50613 Advania Island ehf
 
xmr.crypto-pool.fr
163.172.226.137
法国/法兰西岛大区
 
A
AS12876 Online S.a.s.
 
xmr.crypto-pool.fr
-
 
AAAA
 
会话信息 (会话总数607,当前显示100)
协议 
端口
IP地址
IP归属地
ASN
TCP
22
102.132.76.197
南非/北开普省
AS328320 Kurlec-AS
TCP
443
104.108.229.177
印度/德里国家首都辖区
AS9498 BHARTI Airtel Ltd.
TCP
443
104.112.246.7
美国/乔治亚州
AS16625 AKAMAI-AS
TCP
22
104.223.41.210
美国/加利福尼亚州
AS8100 ASN-QUADRANET-GLOBAL
TCP
3389
106.55.21.58
中国/广东省
AS45090 Shenzhen Tencent Computer Systems Company Limited
TCP
22
107.175.49.8
美国/加利福尼亚州
AS36352 AS-COLOCROSSING
TCP
22
115.4.95.20
韩国/首尔特别市
AS4766 Korea Telecom
TCP
22
116.202.173.72
德国/萨克森自由州
AS24940 Hetzner Online GmbH
TCP
3389
118.128.11.41
韩国/首尔特别市
AS3786 LG DACOM Corporation
TCP
22
118.128.190.151
韩国/首尔特别市
AS3786 LG DACOM Corporation
TCP
22
120.77.58.199
中国/广东省
AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
TCP
6000
122.44.106.21
韩国/首尔特别市
AS17858 LG POWERCOMM
TCP
9090
122.44.106.21
韩国/首尔特别市
AS17858 LG POWERCOMM
TCP
2002
122.44.106.21
韩国/首尔特别市
AS17858 LG POWERCOMM
TCP
22
124.70.197.40
中国/上海市
AS55990 Huawei Cloud Service data center
TCP
22
128.134.122.205
韩国/首尔特别市
AS9321 Hanyang University
TCP
22
129.28.94.87
中国/四川省
AS45090 Shenzhen Tencent Computer Systems Company Limited
TCP
22
142.92.123.165
加拿大/安大略省
AS818 DOC-AS
TCP
2222
142.92.123.165
加拿大/安大略省
AS818 DOC-AS
TCP
22
146.59.225.222
法国/上法兰西大区
AS16276 OVH SAS
TCP
22
147.182.234.53
美国/
ASNone
TCP
2222
147.46.144.120
韩国/首尔特别市
AS9488 Seoul National University
TCP
22
147.46.144.120
韩国/首尔特别市
AS9488 Seoul National University
TCP
22
149.165.60.242
美国/印第安纳州
AS87 INDIANA-AS
TCP
22
15.207.74.128
印度/马哈拉施特拉邦
AS16509 AMAZON-02
TCP
22
156.247.10.250
美国/加利福尼亚州
AS133199 SonderCloud Limited
TCP
2222
156.247.10.250
美国/加利福尼亚州
AS133199 SonderCloud Limited
TCP
6666
163.172.226.137
法国/法兰西岛大区
AS12876 Online S.a.s.
UDP
41782
165.61.214.156
赞比亚/卢萨卡
AS37154 ZAMTEL
TCP
22
166.62.3.82
新加坡/新加坡
AS26496 AS-26496-GO-DADDY-COM-LLC
TCP
2222
168.184.197.0
美国/佛罗里达州
AS2386 INS-AS
TCP
22
168.184.197.0
美国/佛罗里达州
AS2386 INS-AS
TCP
22
178.128.252.252
荷兰/北荷兰省
AS14061 DIGITALOCEAN-ASN
TCP
22
18.130.242.57
英国/英格兰
AS16509 AMAZON-02
TCP
22
18.140.92.22
新加坡/新加坡
AS16509 AMAZON-02
TCP
22
18.176.136.205
日本/东京都
AS16509 AMAZON-02
TCP
22
18.217.191.169
美国/俄亥俄州
AS16509 AMAZON-02
UDP
30835
184.38.168.161
美国/
ASNone
TCP
22
185.171.95.119
塞浦路斯/尼科西亚
AS204918 Arinet Security & Internet Consultancy Ltd
TCP
22
188.166.58.42
荷兰/北荷兰省
AS14061 DIGITALOCEAN-ASN
TCP
22
188.34.158.17
德国/萨克森自由州
AS24940 Hetzner Online GmbH
TCP
22
190.144.16.193
哥伦比亚/科尔多瓦
AS14080 Telmex Colombia S.A.
TCP
22
195.154.232.134
法国/法兰西岛大区
AS12876 Online S.a.s.
TCP
22
207.244.238.61
美国/密苏里州
AS40021 CONTABO
UDP
6539
216.63.194.196
美国/德克萨斯州
AS7018 ATT-INTERNET4
TCP
2222
218.34.58.238
中国/中国台湾
AS7482 Asia Pacific On-line Service Inc.
TCP
22
222.122.203.66
韩国/首尔特别市
AS4766 Korea Telecom
TCP
22
223.164.99.0
印度尼西亚/雅加达
AS9785 PT Berca Hardayaperkasa
UDP
10266
23.241.63.91
美国/加利福尼亚州
AS20001 TWC-20001-PACWEST
TCP
22
23.254.202.246
美国/德克萨斯州
AS54290 HOSTWINDS
TCP
22
3.21.169.158
美国/俄亥俄州
AS16509 AMAZON-02
TCP
22
34.139.21.102
美国/
AS15169 GOOGLE
TCP
22
34.93.102.230
印度/马哈拉施特拉邦
AS15169 GOOGLE
TCP
22
35.158.219.0
德国/黑森州
AS16509 AMAZON-02
TCP
22
35.226.27.193
美国/爱荷华州
AS15169 GOOGLE
TCP
22
39.107.114.135
中国/北京市
AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
UDP
28556
41.187.102.236
埃及/开罗省
AS20928 Noor Data Networks
TCP
443
47.92.204.60
中国/北京市
AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
TCP
22
47.92.204.60
中国/北京市
AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
TCP
666
49.12.32.228
德国/萨克森自由州
AS24940 Hetzner Online GmbH
TCP
22
51.178.94.200
法国/上法兰西大区
AS16276 OVH SAS
TCP
22
51.81.241.225
美国/俄勒冈州
AS16276 OVH SAS
TCP
443
51.81.241.225
美国/俄勒冈州
AS16276 OVH SAS
TCP
22
51.91.101.179
法国/
AS16276 OVH SAS
TCP
443
51.91.101.179
法国/
AS16276 OVH SAS
TCP
22
62.28.83.83
葡萄牙/里斯本区
AS15525 Servicos De Comunicacoes E Multimedia S.A.
TCP
2222
70.32.83.195
美国/弗吉尼亚州
AS398110 GO-DADDY-COM-LLC
TCP
22
73.254.209.26
美国/华盛顿
AS7922 COMCAST-7922
TCP
2222
73.254.209.26
美国/华盛顿
AS7922 COMCAST-7922
TCP
22
83.189.185.114
瑞典/斯德哥尔摩省
AS1257 TELE2
UDP
29219
92.183.52.34
法国/
ASNone
TCP
22
94.130.189.100
德国/巴伐利亚邦
AS24940 Hetzner Online GmbH
TCP
22
94.182.133.27
伊朗/德黑兰省
AS31549 Aria Shatel Company Ltd
TCP
50000
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
4118
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
9000
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
444
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
5555
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
2002
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
8022
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
55554
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
2323
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
6000
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
8888
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
7777
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
2382
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
22222
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
22
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
9999
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
2022
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
443
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
666
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
222
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
830
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
23
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
9090
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
2222
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
3389
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
2223
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
TCP
26
94.24.73.194
罗马尼亚/布加勒斯特
AS34358 H88 Web Hosting S.r.l.
HTTP (URL总数0,当前显示0)
 
URL
请求方式
用户代理
暂无数据

释放文件

posted @ 2021-09-03 14:56  bonelee  阅读(2098)  评论(0编辑  收藏  举报