Linux挖矿木马WorkMiner集中爆发，利用SSH暴力破解传播——流量测：暴力破解、P2P僵尸网络

Linux挖矿木马WorkMiner集中爆发，利用SSH暴力破解传播

深信服千里目安全实验室 2021-08-18 11:35:01 72174

背景概述

近日，深信服终端安全团队、深信服安服应急响应中心团队监控到一款Linux系统下活跃的挖矿木马，且出现大面积感染的情况，该挖矿木马采用GO语言编译，根据其行为特点，安全专家将其命名为WorkMiner挖矿木马。

该挖矿病毒入侵终端后会占用主机资源进行挖矿，影响其他正常业务进程的运转，传播过程中病毒文件会修改防火墙的规则，开放相关端口，探测同网段其他终端并进行SSH暴力破解，容易造成大面积感染。

/受感染主机出现的异常进程/

病毒现象

1、病毒启动后，会释放如下文件：

/tmp/xmr (xmrig挖矿程序)

/tmp/config.json (xmrig挖矿配置文件)

/tmp/secure.sh (封禁爆破IP)

/tmp/auth.sh (封禁爆破IP)

/usr/.work/work64 (病毒母体文件)

2、病毒进程

./work32-deamon

./work64 -deamon

/tmp/xmr

/usr/.work/work32

/usr/.work/work64

/bin/bash /tmp/secure.sh

/bin/bash /tmp/auth.sh

3、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中创建计划任务：

4、修改防火墙规则，开放8000(udp) 和8017(tcp) 端口

5、/usr/bin/url、/usr/bin/wget 命令是否被重命名为/usr/bin/curl1和/usr/bin/wget1

技术分析

病毒样本加了UPX壳：

该挖矿木马是采用go语言编译的，脱壳后看到了golang相关的字符串：

经过解析后，函数列表如下：

木马启动后会先终结竞争对手的进程

随后释放config.json、secure.sh、auth.sh、xmrig等恶意文件，其中xmrig为挖矿程序

随后启动ssh爆破线程，对同网段其他终端发起ssh爆破进行传播；

连接P2P僵尸网络；

IOC

矿池域名：

xmr.crypto-pool.fr

矿池账号：

47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV

MD5：

06e1f988471336d788da0fcaa29ed50b

429258270068966813aa77efd5834a94

20552242cd4b5e8fa6071951e9f4bf6d

 

本文作者：深信服千里目安全实验室， 转载请注明来自FreeBuf.COM

 

 

补充：https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AXtR7IJ9qO1C-f6PQG_k&env=&time=&sha1=2fa461cd8f0614dfb86f845aef47c42910370b00

DNS (DNS总数6,当前显示6)

解析域名	IP/域名	归属地	请求类型	ASN

bttracker.debian.org	bttracker.acc.umu.se ( 2 )	-/- ( 2 )	A	- ( 2 )
dht.transmissionbt.com	212.129.33.59 ( 2 )	法国/法兰西岛大区 ( 2 )	A	AS12876 Online S.a.s. ( 2 )
router.bittorrent.com	67.215.246.10	美国/加利福尼亚州	A	AS8100 ASN-QUADRANET-GLOBAL
router.utorrent.com	82.221.103.244	冰岛/大雷克雅未克区	A	AS50613 Advania Island ehf
xmr.crypto-pool.fr	163.172.226.137	法国/法兰西岛大区	A	AS12876 Online S.a.s.
xmr.crypto-pool.fr	-		AAAA

会话信息 (会话总数607,当前显示100)

协议	端口	IP地址	IP归属地	ASN

TCP	22	102.132.76.197	南非/北开普省	AS328320 Kurlec-AS
TCP	443	104.108.229.177	印度/德里国家首都辖区	AS9498 BHARTI Airtel Ltd.
TCP	443	104.112.246.7	美国/乔治亚州	AS16625 AKAMAI-AS
TCP	22	104.223.41.210	美国/加利福尼亚州	AS8100 ASN-QUADRANET-GLOBAL
TCP	3389	106.55.21.58	中国/广东省	AS45090 Shenzhen Tencent Computer Systems Company Limited
TCP	22	107.175.49.8	美国/加利福尼亚州	AS36352 AS-COLOCROSSING
TCP	22	115.4.95.20	韩国/首尔特别市	AS4766 Korea Telecom
TCP	22	116.202.173.72	德国/萨克森自由州	AS24940 Hetzner Online GmbH
TCP	3389	118.128.11.41	韩国/首尔特别市	AS3786 LG DACOM Corporation
TCP	22	118.128.190.151	韩国/首尔特别市	AS3786 LG DACOM Corporation
TCP	22	120.77.58.199	中国/广东省	AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
TCP	6000	122.44.106.21	韩国/首尔特别市	AS17858 LG POWERCOMM
TCP	9090	122.44.106.21	韩国/首尔特别市	AS17858 LG POWERCOMM
TCP	2002	122.44.106.21	韩国/首尔特别市	AS17858 LG POWERCOMM
TCP	22	124.70.197.40	中国/上海市	AS55990 Huawei Cloud Service data center
TCP	22	128.134.122.205	韩国/首尔特别市	AS9321 Hanyang University
TCP	22	129.28.94.87	中国/四川省	AS45090 Shenzhen Tencent Computer Systems Company Limited
TCP	22	142.92.123.165	加拿大/安大略省	AS818 DOC-AS
TCP	2222	142.92.123.165	加拿大/安大略省	AS818 DOC-AS
TCP	22	146.59.225.222	法国/上法兰西大区	AS16276 OVH SAS
TCP	22	147.182.234.53	美国/	ASNone
TCP	2222	147.46.144.120	韩国/首尔特别市	AS9488 Seoul National University
TCP	22	147.46.144.120	韩国/首尔特别市	AS9488 Seoul National University
TCP	22	149.165.60.242	美国/印第安纳州	AS87 INDIANA-AS
TCP	22	15.207.74.128	印度/马哈拉施特拉邦	AS16509 AMAZON-02
TCP	22	156.247.10.250	美国/加利福尼亚州	AS133199 SonderCloud Limited
TCP	2222	156.247.10.250	美国/加利福尼亚州	AS133199 SonderCloud Limited
TCP	6666	163.172.226.137	法国/法兰西岛大区	AS12876 Online S.a.s.
UDP	41782	165.61.214.156	赞比亚/卢萨卡	AS37154 ZAMTEL
TCP	22	166.62.3.82	新加坡/新加坡	AS26496 AS-26496-GO-DADDY-COM-LLC
TCP	2222	168.184.197.0	美国/佛罗里达州	AS2386 INS-AS
TCP	22	168.184.197.0	美国/佛罗里达州	AS2386 INS-AS
TCP	22	178.128.252.252	荷兰/北荷兰省	AS14061 DIGITALOCEAN-ASN
TCP	22	18.130.242.57	英国/英格兰	AS16509 AMAZON-02
TCP	22	18.140.92.22	新加坡/新加坡	AS16509 AMAZON-02
TCP	22	18.176.136.205	日本/东京都	AS16509 AMAZON-02
TCP	22	18.217.191.169	美国/俄亥俄州	AS16509 AMAZON-02
UDP	30835	184.38.168.161	美国/	ASNone
TCP	22	185.171.95.119	塞浦路斯/尼科西亚	AS204918 Arinet Security & Internet Consultancy Ltd
TCP	22	188.166.58.42	荷兰/北荷兰省	AS14061 DIGITALOCEAN-ASN
TCP	22	188.34.158.17	德国/萨克森自由州	AS24940 Hetzner Online GmbH
TCP	22	190.144.16.193	哥伦比亚/科尔多瓦	AS14080 Telmex Colombia S.A.
TCP	22	195.154.232.134	法国/法兰西岛大区	AS12876 Online S.a.s.
TCP	22	207.244.238.61	美国/密苏里州	AS40021 CONTABO
UDP	6539	216.63.194.196	美国/德克萨斯州	AS7018 ATT-INTERNET4
TCP	2222	218.34.58.238	中国/中国台湾	AS7482 Asia Pacific On-line Service Inc.
TCP	22	222.122.203.66	韩国/首尔特别市	AS4766 Korea Telecom
TCP	22	223.164.99.0	印度尼西亚/雅加达	AS9785 PT Berca Hardayaperkasa
UDP	10266	23.241.63.91	美国/加利福尼亚州	AS20001 TWC-20001-PACWEST
TCP	22	23.254.202.246	美国/德克萨斯州	AS54290 HOSTWINDS
TCP	22	3.21.169.158	美国/俄亥俄州	AS16509 AMAZON-02
TCP	22	34.139.21.102	美国/	AS15169 GOOGLE
TCP	22	34.93.102.230	印度/马哈拉施特拉邦	AS15169 GOOGLE
TCP	22	35.158.219.0	德国/黑森州	AS16509 AMAZON-02
TCP	22	35.226.27.193	美国/爱荷华州	AS15169 GOOGLE
TCP	22	39.107.114.135	中国/北京市	AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
UDP	28556	41.187.102.236	埃及/开罗省	AS20928 Noor Data Networks
TCP	443	47.92.204.60	中国/北京市	AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
TCP	22	47.92.204.60	中国/北京市	AS37963 Hangzhou Alibaba Advertising Co.,Ltd.
TCP	666	49.12.32.228	德国/萨克森自由州	AS24940 Hetzner Online GmbH
TCP	22	51.178.94.200	法国/上法兰西大区	AS16276 OVH SAS
TCP	22	51.81.241.225	美国/俄勒冈州	AS16276 OVH SAS
TCP	443	51.81.241.225	美国/俄勒冈州	AS16276 OVH SAS
TCP	22	51.91.101.179	法国/	AS16276 OVH SAS
TCP	443	51.91.101.179	法国/	AS16276 OVH SAS
TCP	22	62.28.83.83	葡萄牙/里斯本区	AS15525 Servicos De Comunicacoes E Multimedia S.A.
TCP	2222	70.32.83.195	美国/弗吉尼亚州	AS398110 GO-DADDY-COM-LLC
TCP	22	73.254.209.26	美国/华盛顿	AS7922 COMCAST-7922
TCP	2222	73.254.209.26	美国/华盛顿	AS7922 COMCAST-7922
TCP	22	83.189.185.114	瑞典/斯德哥尔摩省	AS1257 TELE2
UDP	29219	92.183.52.34	法国/	ASNone
TCP	22	94.130.189.100	德国/巴伐利亚邦	AS24940 Hetzner Online GmbH
TCP	22	94.182.133.27	伊朗/德黑兰省	AS31549 Aria Shatel Company Ltd
TCP	50000	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	4118	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	9000	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	444	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	5555	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	2002	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	8022	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	55554	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	2323	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	6000	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	8888	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	7777	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	2382	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	22222	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	22	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	9999	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	2022	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	443	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	666	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	222	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	830	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	23	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	9090	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	2222	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	3389	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	2223	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.
TCP	26	94.24.73.194	罗马尼亚/布加勒斯特	AS34358 H88 Web Hosting S.r.l.

HTTP (URL总数0,当前显示0)

	URL	请求方式	用户代理

暂无数据

释放文件