背景概述

近日，深信服安全團隊捕獲到startminer新型變種，該Linux挖礦木馬新增了結束殺軟防護模組，並新增了更多的駐留項防止查殺。C2地址變更為bash.givemexyz.in。

該木馬透過在伺服器上建立多個定時任務、多個路徑釋放功能模組的方式進行駐留，並存在SSH暴力破解模組，下載並執行開源挖礦程式。由於下載的木馬母體名字為2start.jpg，深信服安全團隊將其命名為StartMiner。

感染現象

透過$top發現程式dbused或dbusex高CPU佔用

透過$ps aux檢視有bash和python程式從惡意域名上下載指令碼執行

透過$tail -f /var/log/syslog可以看到執行可疑命令

駐留項

新增4個駐留項如下：

（1）bash啟動項 ~/.bash_profile

在開啟終端時將會執行該挖礦木馬，注意需要到對應使用者目錄下清理bash_profile

cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null

（2）crontab計劃任務

第一個計劃任務為下載指令碼執行

可能建立的crontab未知包括

/etc/cron.d/ngnix & apache
/etc/cron.hourly & daily & weekly & monthly
/var/spool/cron
/var/spool/cron/crontabs

查詢得到計劃任務如下：

另一個計劃任務pwnrig則是直接啟動挖礦程式

（3）rc.d

（4）init.d

（5）系統服務

木馬行為

該木馬入侵主機後將在bash.givemexyz.in上下載shell指令碼xms以及python指令碼bb.py並執行。備用域名為bash.givemexyz.xyz，若無dns無法解析則連結備用地址205.185.113.12，194.156.99.30下載。

xms指令碼執行流程如下：

（1）篩選結束現有的挖礦程式

（2）結束阿里雲盾等防護（相關程式碼被註釋，功能未開啟）

（3）在ssh的known_hosts中嘗試連線其他主機（若已配置ssh免密登入則會擴散）

（4）清空原有計劃任務，寫入新的計劃任務

（5）下載、校驗、執行挖礦程式

（6）下載SSH掃描爆破元件並執行

（7）執行木馬檔案2start.jpg和xms

bb.py指令碼是根據系統平臺型別下載對應的挖礦程式。

處置方法

（1）刪除以下檔案

/bin/bprofr

/bin/sysdr

/bin/crondr

/bin/initdr

/usr/bin/bprofr

/usr/bin/sysdr

/usr/bin/crondr

/usr/bin/initdr

/tmp/dbused

/tmp/dbusex

/tmp/xms

/tmp/x86_64

/tmp/i686

/tmp/go

/tmp/x64b

/tmp/x32b

/tmp/2start.jpg

# SSH傳播

/tmp/sshcheck

/tmp/ssh_vuln.txt

/tmp/scan.log

/tmp/ip192.txt

/tmp/hxx

/tmp/p

/tmp/scan

/tmp/masscan

/tmp/.dat

/tmp/.checking

/tmp/good.tar.gz

/tmp/sshexec

/tmp/sshpass

/tmp/sparte.txt

（2）清理計劃任務、bash_profile、rc*.d、init.d、service包含惡意檔案的啟動項

過濾並刪除包含dbused、dbusex的啟動項

過濾並刪除包含bprofr、sysdr、crondr、initdr相關的啟動項

（3）結束相關程式

過濾並結束包含givemexyz、198.98.57.217、194.156.99.30的程式

過濾並結束包含dbused、dbusex的程式

過濾並結束包含lwp_download的程式（注意是否有正常任務使用lwp_download）

IOC

bash.givemexyz.in

bash.givemexyz.xyz

205.185.113.12

194.156.99.30

深信服安全產品解決方案