StartMiner新型變種,駐留增多難查殺

深信服千里目發表於2020-11-03

背景概述

近日,深信服安全團隊捕獲到startminer新型變種,該Linux挖礦木馬新增了結束殺軟防護模組,並新增了更多的駐留項防止查殺。C2地址變更為bash.givemexyz.in。

該木馬透過在伺服器上建立多個定時任務、多個路徑釋放功能模組的方式進行駐留,並存在SSH暴力破解模組,下載並執行開源挖礦程式。由於下載的木馬母體名字為2start.jpg,深信服安全團隊將其命名為StartMiner。

感染現象

透過$top發現程式dbused或dbusex高CPU佔用

StartMiner新型變種,駐留增多難查殺


透過$ps aux檢視有bash和python程式從惡意域名上下載指令碼執行

StartMiner新型變種,駐留增多難查殺


透過$tail -f /var/log/syslog可以看到執行可疑命令

StartMiner新型變種,駐留增多難查殺


駐留項

新增4個駐留項如下:

(1)bash啟動項 ~/.bash_profile

在開啟終端時將會執行該挖礦木馬,注意需要到對應使用者目錄下清理bash_profile

cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null

(2)crontab計劃任務

第一個計劃任務為下載指令碼執行

StartMiner新型變種,駐留增多難查殺

可能建立的crontab未知包括

/etc/cron.d/ngnix & apache
/etc/cron.hourly & daily & weekly & monthly
/var/spool/cron
/var/spool/cron/crontabs

查詢得到計劃任務如下:

StartMiner新型變種,駐留增多難查殺

StartMiner新型變種,駐留增多難查殺


另一個計劃任務pwnrig則是直接啟動挖礦程式

StartMiner新型變種,駐留增多難查殺


(3)rc.d

 StartMiner新型變種,駐留增多難查殺

(4)init.d

StartMiner新型變種,駐留增多難查殺

StartMiner新型變種,駐留增多難查殺

(5)系統服務

StartMiner新型變種,駐留增多難查殺

木馬行為

該木馬入侵主機後將在bash.givemexyz.in上下載shell指令碼xms以及python指令碼bb.py並執行。備用域名為bash.givemexyz.xyz,若無dns無法解析則連結備用地址205.185.113.12,194.156.99.30下載。

xms指令碼執行流程如下:

(1)篩選結束現有的挖礦程式

(2)結束阿里雲盾等防護(相關程式碼被註釋,功能未開啟)

(3)在ssh的known_hosts中嘗試連線其他主機(若已配置ssh免密登入則會擴散)

(4)清空原有計劃任務,寫入新的計劃任務

(5)下載、校驗、執行挖礦程式

(6)下載SSH掃描爆破元件並執行

(7)執行木馬檔案2start.jpg和xms

bb.py指令碼是根據系統平臺型別下載對應的挖礦程式。

處置方法

(1)刪除以下檔案

/bin/bprofr

/bin/sysdr

/bin/crondr

/bin/initdr

/usr/bin/bprofr

/usr/bin/sysdr

/usr/bin/crondr

/usr/bin/initdr

/tmp/dbused

/tmp/dbusex

/tmp/xms

/tmp/x86_64

/tmp/i686

/tmp/go

/tmp/x64b

/tmp/x32b

/tmp/2start.jpg

# SSH傳播

/tmp/sshcheck

/tmp/ssh_vuln.txt

/tmp/scan.log

/tmp/ip192.txt

/tmp/hxx

/tmp/p

/tmp/scan

/tmp/masscan

/tmp/.dat

/tmp/.checking

/tmp/good.tar.gz

/tmp/sshexec

/tmp/sshpass

/tmp/sparte.txt

(2)清理計劃任務、bash_profile、rc*.d、init.d、service包含惡意檔案的啟動項

過濾並刪除包含dbused、dbusex的啟動項

過濾並刪除包含bprofr、sysdr、crondr、initdr相關的啟動項

(3)結束相關程式

過濾並結束包含givemexyz、198.98.57.217、194.156.99.30的程式

過濾並結束包含dbused、dbusex的程式

過濾並結束包含lwp_download的程式(注意是否有正常任務使用lwp_download)

IOC

bash.givemexyz.in

bash.givemexyz.xyz

205.185.113.12

194.156.99.30

深信服安全產品解決方案

1. 深信服EDR、安全感知平臺、下一代防火牆使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
StartMiner新型變種,駐留增多難查殺

2. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章