0x0 概述

最近，深信服安全團隊捕獲到SystemdMiner挖礦木馬最新變種，該家族在2019年被首次發現，起初因其元件都以systemd-<XXX>命名而得名，但慢慢的，它們開始棄用systemd的命名形式，改為了隨機名。

深信服安全團隊透過C&C域名、指令碼、定時任務等特徵確認該病毒為SystemdMiner最新變種，本次變種的不同點在於更新了C&C域名及連線C&C域名的方式，使用socket5代理的方式訪問C&C域名，從而實現繞過安全閘道器的目的，其餘的特徵與過往版本類似。

0x1 主機排查

失陷主機卡頓嚴重，使用top命令定位到挖礦程式為XBpdur，CPU佔用率達到597%。

當檢視其程式資訊時，發現程式對應的檔案及符號連結未找到，說明病毒極大可能執行後進行了自刪除並刪除符號連結。

使用netstat命令發現XBpdur程式有兩條可疑網路連線，透過威脅情報關聯，確認該病毒為SystemdMiner。

主機上也存在SystemdMiner特有的定時任務，定時呼叫一個隨機名sh指令碼，該sh指令碼是由一串base64加密的字串組成的。

0x2 樣本分析

解密後的指令碼程式碼如下，與之前變種不同的是，本次的C&C域名由tencentxjy5kpccv.*更換為了trumpzwlvlyrvlss.*，且使用了socket5的方式用relay.tor2socks.in代理訪問C&C域名，relay.tor2socks.in是一個類似中轉網站的域名，這樣，C&C域名trumpzwlvlyrvlss.onion就不會直接出現在資料包頭。

模擬執行指令碼中的下載命令，得到病毒檔案母體，是一個64位的ELF檔案。

當使用IDA進行反彙編時，函式列表與匯入表都幾乎沒有顯示，極大可能是經過加密了。

由於是駭客自定義的加密演算法，只好單步除錯，一路單步後，IDA提示在資料段發現了程式碼結構，此處的程式碼即為解密出來的核心惡意程式碼。

核心惡意程式碼在0x400339處，使用IDA的記憶體快照功能儲存下來，這樣就可以斷開除錯本地分析了。

儲存好快照後，檢視字串視窗，樣本的敏感字串都顯示出來了，跟過往的變種一樣，樣本內嵌了base64指令碼，在執行時釋放。

第1個指令碼的主要功能是解除安裝安騎士、雲鏡等安防產品，以及清除其他家族的挖礦病毒程式。

第2個指令碼用於下載挖礦程式cpu，下載方式及域名跟上述的一樣。

cpu也是經過加密的，解密方式與病毒母體的類似，解密出來後的樣本是XMRig挖礦程式。

其他兩個指令碼用於下載cmd和bot模組，目前下載連線已失效，bot大機率是該病毒的傳播模組。

0x3 解決方案

深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品使用者可進行病毒檢測，如圖所示：

深信服安全團隊提醒廣大使用者，注意日常防範措施：

1、修改ssh弱密碼，防止被爆破。

2、對重要的資料檔案定期進行非本地備份。

3、深信服防火牆客戶，建議升級到最新版本，並開啟人工智慧引擎Save，以達到最好的防禦效果。

4、使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅。

5、深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。 

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。推薦使用深信服安全感知+防火牆+EDR，對內網進行感知、查殺和防護。

0x4 IOC

57374AF602FE4D852AB38EB68F641FB0 -- x86_64

31DF932A2963F830ACB39B28D60B5E96 -- cpu

trumpzwlvlyrvlss.onion -- C&C域名

trumpzwlvlyrvlss.tor2web.in -- C&C域名

trumpzwlvlyrvlss.tor2web.io -- C&C域名

trumpzwlvlyrvlss.tor2web.to -- C&C域名

trumpzwlvlyrvlss.tor2web.su -- C&C域名

222.35.250.117 -- 礦池地址