背景概述
近日,深信服安全團隊捕獲到startminer新型變種,該Linux挖礦木馬新增了結束殺軟防護模組,並新增了更多的駐留項防止查殺。C2地址變更為bash.givemexyz.in。
該木馬透過在伺服器上建立多個定時任務、多個路徑釋放功能模組的方式進行駐留,並存在SSH暴力破解模組,下載並執行開源挖礦程式。由於下載的木馬母體名字為2start.jpg,深信服安全團隊將其命名為StartMiner。
感染現象
透過$top發現程式dbused或dbusex高CPU佔用
透過$ps aux檢視有bash和python程式從惡意域名上下載指令碼執行
透過$tail -f /var/log/syslog可以看到執行可疑命令
駐留項
新增4個駐留項如下:
(1)bash啟動項 ~/.bash_profile
在開啟終端時將會執行該挖礦木馬,注意需要到對應使用者目錄下清理bash_profile
cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null
(2)crontab計劃任務
第一個計劃任務為下載指令碼執行
可能建立的crontab未知包括
/etc/cron.d/ngnix & apache
/etc/cron.hourly & daily & weekly & monthly
/var/spool/cron
/var/spool/cron/crontabs
查詢得到計劃任務如下:
另一個計劃任務pwnrig則是直接啟動挖礦程式
(3)rc.d
(4)init.d
(5)系統服務
木馬行為
該木馬入侵主機後將在bash.givemexyz.in上下載shell指令碼xms以及python指令碼bb.py並執行。備用域名為bash.givemexyz.xyz,若無dns無法解析則連結備用地址205.185.113.12,194.156.99.30下載。
xms指令碼執行流程如下:
(1)篩選結束現有的挖礦程式
(2)結束阿里雲盾等防護(相關程式碼被註釋,功能未開啟)
(3)在ssh的known_hosts中嘗試連線其他主機(若已配置ssh免密登入則會擴散)
(4)清空原有計劃任務,寫入新的計劃任務
(5)下載、校驗、執行挖礦程式
(6)下載SSH掃描爆破元件並執行
(7)執行木馬檔案2start.jpg和xms
bb.py指令碼是根據系統平臺型別下載對應的挖礦程式。
處置方法
(1)刪除以下檔案
/bin/bprofr
/bin/sysdr
/bin/crondr
/bin/initdr
/usr/bin/bprofr
/usr/bin/sysdr
/usr/bin/crondr
/usr/bin/initdr
/tmp/dbused
/tmp/dbusex
/tmp/xms
/tmp/x86_64
/tmp/i686
/tmp/go
/tmp/x64b
/tmp/x32b
/tmp/2start.jpg
# SSH傳播
/tmp/sshcheck
/tmp/ssh_vuln.txt
/tmp/scan.log
/tmp/ip192.txt
/tmp/hxx
/tmp/p
/tmp/scan
/tmp/masscan
/tmp/.dat
/tmp/.checking
/tmp/good.tar.gz
/tmp/sshexec
/tmp/sshpass
/tmp/sparte.txt
(2)清理計劃任務、bash_profile、rc*.d、init.d、service包含惡意檔案的啟動項
過濾並刪除包含dbused、dbusex的啟動項
過濾並刪除包含bprofr、sysdr、crondr、initdr相關的啟動項
(3)結束相關程式
過濾並結束包含givemexyz、198.98.57.217、194.156.99.30的程式
過濾並結束包含dbused、dbusex的程式
過濾並結束包含lwp_download的程式(注意是否有正常任務使用lwp_download)
IOC
bash.givemexyz.in
bash.givemexyz.xyz
205.185.113.12
194.156.99.30
深信服安全產品解決方案
1. 深信服EDR、安全感知平臺、下一代防火牆使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
2. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。