0x0 背景介紹

近期，深信服安全團隊捕獲到一個求生欲極強的Linux挖礦病毒家族，為了躲避DDG及安全人員的查殺，其採用了多種方式進行隱藏及持久化攻擊，由於其會訪問域名Rainbow66.f3322.net，深信服安全團隊將其命名為RainbowMiner。

0x1 排查清除過程

中毒的主機出現了奇怪現象，CPU佔用率很高，卻找不到可疑的程式。

這種情況第一反應是病毒對系統命令進行了劫持，隱藏自身，下載執行busybox top命令，即可檢視到病毒程式，其中kthreadds為挖礦程式，pdflushs為守護程式。

定位完病毒程式後，還需刪除對應的檔案，挖礦程式對應的檔案為/usr/bin/kthreadds，守護程式對應的檔案為/etc/init.d/pdflush，同時，主機的/etc/rc*.d/啟動目錄下還有殘留的連結，也許一併清除。

該病毒沒有采用定時任務的方式駐留，而是建立了一個ssh公鑰後門，也需要一併清除。

除此之外，還發現主機有個偽裝的python惡意程式，經後續分析確認也是個守護程式，需要清除乾淨。至此，病毒的清除過程就結束了。

0x2 情報關聯

從Github開源專案DDGBotnetTracker發現，DDG最新版本v5023的獵殺名單中存在有RainbowMiner的項，看來DDG也視RainbowMiner為眼中釘。

RainbowMiner相應的域名也在重定向列表裡。

Rainbow66.f3322.net（148.70.199.147）是個HFS伺服器，上述xmrig/目錄存放的就是RainbowMiner的所有元件，這裡可以看到點選量超過了7.7w，估摸著感染RainbowMiner的主機大概有7w+。

xmrig/目錄如下，其中母體指令碼有3個，launch和launch-ubuntu即為pdflushs，而install比較有趣，分析發現是個漢化版的指令碼。

指令碼還帶有中文註釋。

執行後，會提示你安裝挖礦還是安裝後門，功能與pdflushs相仿。

0x3 病毒分析

kthreadds為開源xmrig挖礦程式，下面主要分析母體指令碼pdflushs，從初始的變數定義，可以得知，RainbowMiner的元件主要有3類：ssh等運維工具、processhider等駭客工具、xmrig等挖礦程式，其中運維工具是方便指令碼執行命令，駭客工具只要是用來隱藏及持久化執行挖礦程式。

指令碼入口點如下，支援3種引數，安裝並執行挖礦，檢查挖礦執行狀態，及檢查更新。

主要看start函式，該函式啟動後會從C&C伺服器下載各個元件，並校驗sha512是否正確，若不正確（雲端元件有更新或本地元件被篡改）則重新下載。

寫入ssh公鑰後門到autorized_keys檔案，使C&C伺服器後續可以直接登入該主機。

後臺執行cron.py指令碼（偽裝成libgc++.so），與母體指令碼功能類似，守護監控挖礦是否正常執行。

cron.py指令碼的程式碼如下，後臺執行挖礦程式及母體指令碼，挖礦礦池地址為：rainbow20.eatuo.com。

參考連結：https://github.com/0xjiayu/DDGBotnetTracker/blob/master/v2/data/jobs.json

0x4 加固建議 

1、Linux惡意軟體以挖礦為主，一旦主機被挖礦了，CPU佔用率高，將會影響業務，所以需要實時監控主機CPU狀態。

2、定時任務是惡意軟體慣用的持久化攻擊技巧，應定時檢查系統是否出現可疑定時任務。

3、部分企業還存在ssh弱密碼的現象，應及時更改為複雜密碼，且檢查在/root/.ssh/目錄下是否存在可疑的authorized_key快取公鑰。

4、定時檢查Web程式是否存在漏洞，特別關注Redis未授權訪問等RCE漏洞。

0x5 深信服安全產品解決方案

1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品使用者可進行病毒檢測，如圖所示：

2、深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3、深信服安全產品整合深信服SAVE安全智慧檢測引擎，擁有對未知病毒的強大泛化檢測能力，能夠提前精準防禦未知病毒；

4、深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。