Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
背景概述
近日,深信服安全團隊捕獲到一款Muhstik殭屍網路木馬,多個國內的伺服器被爆破登入,在主機執行惡意程式碼以下載Muhstik殭屍木馬和挖礦病毒,從而利用伺服器進行挖礦,以及進行DDos攻擊。
情報分析
攻擊者主要會在爆破登入成功後用wget下載shell指令碼
| Virus | MD5 |
| 1sh | 861c40811b98780ce8eba0c572dfaa9b |
| 2sh | bfc90665de5c74c45488226a8999630b |
| 3sh | ca6d74719f063b9c79cb4d81d7299392 |
1sh: 主要下載pty1,pty2,pty5,pty11到/var/run目錄下,更改檔案的許可權。
首先是進行 chmod + x 提供可執行功能 ,再進行 chmod 700讓其他人沒有更改檔案的許可權。同樣,將pty3,pty10,pty4放到當前的目錄下,pty3在/var/run和/var/tmp目錄下,執行完這些操作之後刪除自身的檔案1sh。
2sh: 主要下載pty1,pty2,pty11,pty10,pty4,pty5到/tmp目錄下,更改檔案的許可權。
首先是進行 chmod + x 提供可執行功能 ,再進行 chmod 700讓其他人沒有更改檔案的許可權。將下載的檔案複製到/tmp目錄下的loop0,loop1,loop2,loop3,loop4,執行完操作之後刪除自身的檔案2sh。
3sh: 主要下載pty10,pty3,pty4到當前的目錄下,更改檔案的許可權。
首先是進行 chmod + x 提供可執行功能 ,再進行 chmod 700讓其他人沒有更改檔案的許可權。然後下載pty10,pty1,pty2,pty5,pty11到/tmp目錄下進行 chmod + x 提供可執行功能 ,再進行 chmod 700讓其他人沒有許可權更改檔案,3sh檔案進行自刪除。
病毒執行:
技術分析
下載下來的檔案pty* 等等的,主要是muhstik主要的病毒檔案,主要功能:
1.蠕蟲式傳播;
2.長期駐留;
3.利用多種漏洞;
4.挖礦獲利。
pty*採用UPX殼
透過ida分析,惡意檔案具有crontab定時任務,以及/etc/inittab系統啟動項進行持久化
可以看到計劃性任務和我們ida中的路徑相吻合:
我們也可以發現通訊埠號是2407,和165.22.217.181:2407進行通訊
經過wieshark進行抓包可以看到和165.22.217.181:2407進行了網路上的通訊,並且傳遞了資料包
惡意檔案為受害主機的系統分配了相應的暱稱:
主要收集了電腦的體系結構、是否為root使用者、編號以及裝置的一部分資訊,進行傳送,如下:
NICK x86|f|1|8090634|unknown
主要透過Connect命令中含有裝置命名unknown加入到通道中,伺服器進行PING命令後,病毒主機回覆PONG,病毒主機透過ex86通道密碼為8974來跟殭屍網路命令互通
在經過1小時左右會Get下載xmra64檔案,並且進行加密礦工的通訊還有挖礦的行為
可以確定為是門羅XMR挖礦程式
看下本機網路行為:開始進行通訊挖礦
解決方案
加固建議
1. 避免使用弱密碼,定時進行改密以及加固密碼;
2. 儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
3. 經常檢視伺服器的日誌,發現有不明ip經常爆破,建議直接封禁,避免帶來不必要的風險;
4. 定期檢測系統漏洞並且及時進行補丁修復。
手動解決方案
1. 查詢到下文所述的檔案,kill其程式並刪除檔案:
/var/run目錄下的pty1,pty2,pty5,pty11
/tmp目錄下的pty1,pty2,pty11,pty10,pty4,pty5,xmra64
/tmp目錄下的loop0,loop1,loop2,loop3,loop4
當前的目錄下的pty3,pty10,pty4,xmra64
/dev/shm/pty*(\*代表任意字元)
/var/tmp/pty*
/var/lock/pty*
/var/run/pty*
2. crontab -l命令檢視定時任務中是否包含以上pty*相關的檔案內容,有將其刪除即可
3. cat /etc/inittab檢視系統啟動任務中是否包含以上pty* 相關的檔案內容,有將其刪除即可
深信服安全產品解決方案
1.深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
2. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
相關文章
- 快速進擊的挖礦殭屍網路:單日攻擊破10萬次
- Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊
- 《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網路日趨多見
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- “漏洞利用之王”HolesWarm挖礦木馬新增大量攻擊模組強勢來襲Swarm
- Web Worker應用之CORS攻擊實現botnet殭屍網路節點攻擊WebCORS
- 黑客利用Windows BlueKeep挖礦,RDP攻擊再次來襲黑客Windows
- 什麼是殭屍網路攻擊?安全專業人員指南
- 微軟聯合執法人員 一舉突襲兩大全球殭屍網路微軟
- Mykings殭屍網路仍活躍,至少已通過挖礦獲利2470萬美元
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- 一起涉及多個DDoS殭屍網路樣本的攻擊事件追蹤事件
- 社交平臺上的桃色陷阱:殭屍網路SIREN侵襲Twitter
- 什麼是殭屍網路
- Mirai殭屍網路重出江湖AI
- 快速定位挖礦木馬 !
- 怎樣在網路上發現和阻止加密挖礦攻擊加密
- 揭秘Neutrino殭屍網路生成器
- 怎樣有效的治理殭屍網路?
- RDP服務之GoldBrute殭屍網路Go
- “永恆之藍下載器”木馬篡改hosts指向隨機域名 多個漏洞攻擊內網挖礦隨機內網
- 警告 :從銀行木馬到分散式殭屍網路的Emotet捲土重來分散式
- DDG殭屍網路“變種”來襲,騰訊安全提醒企業警惕伺服器安全伺服器
- 殭屍網路XorDDoS的原理分析與清除
- P2P 殭屍網路入門
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 【江民播報】俄羅斯最大搜尋引擎遭創紀錄DDoS攻擊:真兇為Mēris殭屍網路
- 卡巴斯基:2015年Q4全球Linux殭屍網路佔DDoS攻擊的50%Linux
- 物聯網裝置殭屍網路趨勢分析
- 超大規模的物聯網殭屍網路:Pink
- 網路攻擊
- 微軟搗毀Trickbot勒索軟體殭屍網路;特斯拉推出雙重驗證防黑客攻擊;兩男子出售利用萬餘條個人資訊獲刑微軟黑客
- 提高你的警惕 殭屍網路紮根網際網路(轉)
- 瞄準Windows的新興殭屍網路:KrakenWindows
- 物聯網變身黑暗森林:殭屍網路、守護者、毀滅者層出不窮
- 新型 Linux 殭屍網路變種“EnemyBot”現身!利用 Web 伺服器、Android 及 CMS 漏洞進行攻擊LinuxWeb伺服器Android
- 卡巴斯基實驗室:2017年10.8%的工業控制系統受到殭屍網路攻擊