背景概述

近日，深信服安全團隊捕獲到一款Muhstik殭屍網路木馬，多個國內的伺服器被爆破登入，在主機執行惡意程式碼以下載Muhstik殭屍木馬和挖礦病毒，從而利用伺服器進行挖礦，以及進行DDos攻擊。

情報分析

攻擊者主要會在爆破登入成功後用wget下載shell指令碼

1sh: 主要下載pty1,pty2,pty5,pty11到/var/run目錄下，更改檔案的許可權。

首先是進行 chmod + x 提供可執行功能 ，再進行 chmod 700讓其他人沒有更改檔案的許可權。同樣，將pty3,pty10,pty4放到當前的目錄下，pty3在/var/run和/var/tmp目錄下，執行完這些操作之後刪除自身的檔案1sh。

2sh: 主要下載pty1,pty2,pty11,pty10,pty4,pty5到/tmp目錄下，更改檔案的許可權。

首先是進行 chmod + x 提供可執行功能 ，再進行 chmod 700讓其他人沒有更改檔案的許可權。將下載的檔案複製到/tmp目錄下的loop0,loop1,loop2,loop3,loop4，執行完操作之後刪除自身的檔案2sh。

3sh: 主要下載pty10,pty3,pty4到當前的目錄下，更改檔案的許可權。

首先是進行 chmod + x 提供可執行功能 ，再進行 chmod 700讓其他人沒有更改檔案的許可權。然後下載pty10,pty1,pty2,pty5,pty11到/tmp目錄下進行 chmod + x 提供可執行功能 ，再進行 chmod 700讓其他人沒有許可權更改檔案，3sh檔案進行自刪除。

病毒執行：

技術分析

下載下來的檔案pty* 等等的，主要是muhstik主要的病毒檔案，主要功能：

1.蠕蟲式傳播；

2.長期駐留；

3.利用多種漏洞；

4.挖礦獲利。 

pty*採用UPX殼

透過ida分析，惡意檔案具有crontab定時任務，以及/etc/inittab系統啟動項進行持久化

可以看到計劃性任務和我們ida中的路徑相吻合：

我們也可以發現通訊埠號是2407，和165.22.217.181:2407進行通訊

經過wieshark進行抓包可以看到和165.22.217.181:2407進行了網路上的通訊，並且傳遞了資料包

惡意檔案為受害主機的系統分配了相應的暱稱：

主要收集了電腦的體系結構、是否為root使用者、編號以及裝置的一部分資訊，進行傳送，如下：

NICK x86|f|1|8090634|unknown

主要透過Connect命令中含有裝置命名unknown加入到通道中，伺服器進行PING命令後，病毒主機回覆PONG，病毒主機透過ex86通道密碼為8974來跟殭屍網路命令互通

在經過1小時左右會Get下載xmra64檔案，並且進行加密礦工的通訊還有挖礦的行為

可以確定為是門羅XMR挖礦程式

看下本機網路行為：開始進行通訊挖礦

解決方案

加固建議

1. 避免使用弱密碼，定時進行改密以及加固密碼；

2. 儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

3.  經常檢視伺服器的日誌，發現有不明ip經常爆破，建議直接封禁，避免帶來不必要的風險;

4.  定期檢測系統漏洞並且及時進行補丁修復。

手動解決方案

1.   查詢到下文所述的檔案，kill其程式並刪除檔案：

/var/run目錄下的pty1,pty2,pty5,pty11

/tmp目錄下的pty1,pty2,pty11,pty10,pty4,pty5,xmra64

/tmp目錄下的loop0,loop1,loop2,loop3,loop4

當前的目錄下的pty3,pty10,pty4，xmra64

/dev/shm/pty*（\*代表任意字元）

/var/tmp/pty*

/var/lock/pty*

/var/run/pty*

2.   crontab -l命令檢視定時任務中是否包含以上pty*相關的檔案內容，有將其刪除即可

3.   cat /etc/inittab檢視系統啟動任務中是否包含以上pty* 相關的檔案內容，有將其刪除即可

深信服安全產品解決方案

1.深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2. 深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。