0x0 背景介紹
近期,深信服安全團隊捕獲到一個求生欲極強的Linux挖礦病毒家族,為了躲避DDG及安全人員的查殺,其採用了多種方式進行隱藏及持久化攻擊,由於其會訪問域名Rainbow66.f3322.net,深信服安全團隊將其命名為RainbowMiner。
0x1 排查清除過程
中毒的主機出現了奇怪現象,CPU佔用率很高,卻找不到可疑的程式。
這種情況第一反應是病毒對系統命令進行了劫持,隱藏自身,下載執行busybox top命令,即可檢視到病毒程式,其中kthreadds為挖礦程式,pdflushs為守護程式。
定位完病毒程式後,還需刪除對應的檔案,挖礦程式對應的檔案為/usr/bin/kthreadds,守護程式對應的檔案為/etc/init.d/pdflush,同時,主機的/etc/rc*.d/啟動目錄下還有殘留的連結,也許一併清除。
該病毒沒有采用定時任務的方式駐留,而是建立了一個ssh公鑰後門,也需要一併清除。
除此之外,還發現主機有個偽裝的python惡意程式,經後續分析確認也是個守護程式,需要清除乾淨。至此,病毒的清除過程就結束了。
0x2 情報關聯
從Github開源專案DDGBotnetTracker發現,DDG最新版本v5023的獵殺名單中存在有RainbowMiner的項,看來DDG也視RainbowMiner為眼中釘。
RainbowMiner相應的域名也在重定向列表裡。
Rainbow66.f3322.net(148.70.199.147)是個HFS伺服器,上述xmrig/目錄存放的就是RainbowMiner的所有元件,這裡可以看到點選量超過了7.7w,估摸著感染RainbowMiner的主機大概有7w+。
xmrig/目錄如下,其中母體指令碼有3個,launch和launch-ubuntu即為pdflushs,而install比較有趣,分析發現是個漢化版的指令碼。
指令碼還帶有中文註釋。
執行後,會提示你安裝挖礦還是安裝後門,功能與pdflushs相仿。
0x3 病毒分析
kthreadds為開源xmrig挖礦程式,下面主要分析母體指令碼pdflushs,從初始的變數定義,可以得知,RainbowMiner的元件主要有3類:ssh等運維工具、processhider等駭客工具、xmrig等挖礦程式,其中運維工具是方便指令碼執行命令,駭客工具只要是用來隱藏及持久化執行挖礦程式。
指令碼入口點如下,支援3種引數,安裝並執行挖礦,檢查挖礦執行狀態,及檢查更新。
主要看start函式,該函式啟動後會從C&C伺服器下載各個元件,並校驗sha512是否正確,若不正確(雲端元件有更新或本地元件被篡改)則重新下載。
寫入ssh公鑰後門到autorized_keys檔案,使C&C伺服器後續可以直接登入該主機。
後臺執行cron.py指令碼(偽裝成libgc++.so),與母體指令碼功能類似,守護監控挖礦是否正常執行。
cron.py指令碼的程式碼如下,後臺執行挖礦程式及母體指令碼,挖礦礦池地址為:rainbow20.eatuo.com。
參考連結:https://github.com/0xjiayu/DDGBotnetTracker/blob/master/v2/data/jobs.json
0x4 加固建議
1、Linux惡意軟體以挖礦為主,一旦主機被挖礦了,CPU佔用率高,將會影響業務,所以需要實時監控主機CPU狀態。
2、定時任務是惡意軟體慣用的持久化攻擊技巧,應定時檢查系統是否出現可疑定時任務。
3、部分企業還存在ssh弱密碼的現象,應及時更改為複雜密碼,且檢查在/root/.ssh/目錄下是否存在可疑的authorized_key快取公鑰。
4、定時檢查Web程式是否存在漏洞,特別關注Redis未授權訪問等RCE漏洞。
0x5 深信服安全產品解決方案
1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
2、深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3、深信服安全產品整合深信服SAVE安全智慧檢測引擎,擁有對未知病毒的強大泛化檢測能力,能夠提前精準防禦未知病毒;
4、深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。