DDG最新變種v5028,警惕淪為挖礦“肉雞”
近期,深信服安全團隊捕獲到DDG挖礦木馬最新變種v5028,較之前的變種v5023,新版本的DDG挖礦木馬更新了C&C地址及挖礦地址,同時棄用了傳統的i.sh駐留方式。
經深信服安全雲腦資料統計,該木馬在短短一個月時間已有大量攔截資料,且每日攻擊次數還呈遞增的趨勢。
0x0 威脅資料
根據雲腦資料顯示,截止2020年6月15號,全網已監測到近大量來自DDG v5028變種的流量攻擊。
攻擊資料攔截地區的分佈大致如下,其中天津和北京的攔截資料量最大。
0x1 版本簡介
自2020年開始,DDG已開始啟用v5版本號,從以往的Memberlist開源P2P通訊方式改為了自研的P2P通訊方式,
在v5023中有較大更新,木馬會在 /var/lib/ 或 /usr/local/下生成隨機名目錄,用於存放P2P通訊中獲取到的檔案及資料,以及新增jobs配置檔案來進行一些較高階的清除異己操作。
本次v5028的更新在於棄用了i.sh的駐留方式。
0x2 木馬分析
中毒後的主機現象如下,存在一個挖礦程式playstation及隨機名母體程式cqhzxp。
主機上無發現惡意定時任務,透過ssh特徵匹配確認該木馬為DDG家族。
本次DDG家族為最新的5028版本,其惡意元件在/var/lib/的一個隨機名目錄下。
重定向域名中,較5025版本新增了www.minpop.com,經過威脅關聯確認這是一個名為shellbot的perl惡意軟體。
藉助P2P殭屍網路,DDG挖礦木馬執行後會隨機從其他失陷主機中拉取slave或jobs配置檔案,slave裡配置的是攻擊元件的資訊,jobs配置的是清除異己家族的資訊。
slave配置檔案的核心內容如下,使用了2個挖礦程式,MD5分別為cfde21dc48f06da5688e81b1cdeb2b3e和d146612bed765ba32200e0f97d0330c8,新增了2個礦池地址,50.116.37.115和134.209.249.49。同時,slave配置中去掉了i.sh部分的內容,也說明5028變種已棄用i.sh的傳播&駐留方式。
使用開源工具https://github.com/0xjiayu/DDGBotnetTracker解密出目前失陷的主機列表如下。
程式碼部分沒有太大變化,新增了killLowCpuMiner函式,用於清除一些智慧挖礦的程式。
傳播方式還是沿用了以下4個漏洞進行攻擊:
1.SSH密碼暴破
2.Redis未授權訪問漏洞
3.Nexus Repository Manager 3 RCE漏洞(CVE-2019-7238)
4.Supervisord RCE漏洞(CVE-2017-11610)
0x3 加固建議
1、Linux惡意軟體以挖礦為主,一旦主機被挖礦了,CPU佔用率高,將會影響業務,所以需要實時監控主機CPU狀態。
2、定時任務是惡意軟體慣用的持久化攻擊技巧,應定時檢查系統是否出現可疑定時任務。
3、部分企業還存在ssh弱密碼的現象,應及時更改為複雜密碼,且檢查在/root/.ssh/目錄下是否存在可疑的authorized_key快取公鑰。
4、定時檢查Web程式是否存在漏洞,特別關注Redis未授權訪問等RCE漏洞。
0x4 深信服安全產品解決方案
1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
3、深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
4、深信服安全產品整合深信服SAVE安全智慧檢測引擎,擁有對未知病毒的強大泛化檢測能力,能夠提前精準防禦未知病毒;
5、深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
0x5 IOC
C&C地址:
119.28.1.135
103.27.42.84
礦池地址:
50.116.37.115:443
178.128.108.158:443
134.209.249.49:443
103.195.4.139:443
68.183.182.120:443
樣本MD5:
17028FABB703AD98E44691DEDC7C3D1F
cfde21dc48f06da5688e81b1cdeb2b3e
d146612bed765ba32200e0f97d0330c8
0x6 參考連結
https://blog.netlab.360.com/ddg-upgrade-to-new-p2p-hybrid-model/
https://www.freebuf.com/column/232333.html
相關文章
- 支援雙系統挖礦,警惕新型挖礦病毒入侵
- 警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦
- 漢化遠控木馬下發挖礦程式,利用肉雞資源撈金
- DDG殭屍網路“變種”來襲,騰訊安全提醒企業警惕伺服器安全伺服器
- 數十萬PhpStudy使用者被植入後門,快來檢測你是否已淪為“肉雞”PHP
- Rocke Group團伙新挖礦變種AliyunMiner分析
- 區塊鏈挖礦演變史,一鍵挖礦逐漸成主流區塊鏈
- 開源資料庫雖香,但需警惕風險勿淪為“韭菜”資料庫
- Linux裝置淪為礦機,黑客暴力破解SSHLinux黑客
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- 雲伺服器可以挖礦嗎 幣種成本收益尤為重要伺服器
- 平臺利用大資料割韭菜,消費者為何淪為砧板上的魚肉大資料
- 臥槽!最新程式語言排名,Java 淪為老二。。Java
- 新年大禮|還在為挖礦通告困擾麼?綠盟科技最新礦池情報直接下載
- 挖礦病毒
- Stratum挖礦協議&XMR挖礦流量分析協議
- 嚴打“挖礦”,對“挖礦”活動零容忍
- EPK怎麼挖礦?EPK挖礦教程詳情
- 瑞星播報:6日需警惕“IRC波特變種XAG”病毒
- IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情APP
- IPP挖礦技術開發/Defi挖礦/IPPswap理財挖礦系統開發元件解析元件
- 挖礦難度
- 一次minerd肉雞木馬的排查思路
- 西班牙打掉一黑客集團曾千萬臺肉雞黑客
- 開發者談遊戲中過多的文字內容是否會淪為雞肋遊戲
- 整治“挖礦”, 綠盟科技挖礦專項治理方案來助力
- linux挖礦處置Linux
- IPFS/Filecoin挖礦流程
- 門羅挖礦JSJS
- ETH2.0,以太坊顯示卡挖礦還能挖多久,以太坊挖礦之路
- 我們為什麼會喜歡挖礦遊戲?遊戲
- DeFi 質押挖礦系統丨DeFi 質押挖礦系統
- IPFS挖礦開發解決方案及IPFS礦機挖礦原理及最優規劃
- WireShark駭客發現之旅—肉雞郵件伺服器伺服器
- IPP算力挖礦|IPPSWAP質押挖礦系統開發詳情
- IPP質押挖礦系統開發|IPPSWAP挖礦開發系統
- 利用WMI命令入侵挖礦,新型挖礦病毒Audliodg持續活躍中
- 以太坊原始碼分析(42)miner挖礦部分原始碼分析CPU挖礦原始碼