Linux挖礦木馬WorkMiner集中爆發，利用SSH暴力破解傳播

背景概述

近日，深信服終端安全團隊、深信服安服應急響應中心團隊監控到一款Linux系統下活躍的挖礦木馬，且出現大面積感染的情況，該挖礦木馬採用GO語言編譯，根據其行為特點，安全專家將其命名為WorkMiner挖礦木馬。

該挖礦病毒入侵終端後會佔用主機資源進行挖礦，影響其他正常業務程式的運轉，傳播過程中病毒檔案會修改防火牆的規則，開放相關埠，探測同網段其他終端並進行SSH暴力破解，容易造成大面積感染。

/受感染主機出現的異常程式/

病毒現象

1、病毒啟動後，會釋放如下檔案：

/tmp/xmr (xmrig挖礦程式)

/tmp/config.json (xmrig挖礦配置檔案)

/tmp/secure.sh (封禁爆破IP)

/tmp/auth.sh (封禁爆破IP)

/usr/.work/work64 (病毒母體檔案)

2、病毒程式

./work32-deamon

./work64 -deamon

/tmp/xmr

/usr/.work/work32

/usr/.work/work64

/bin/bash /tmp/secure.sh

/bin/bash /tmp/auth.sh

3、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中建立計劃任務：

4、修改防火牆規則，開放8000(udp) 和8017(tcp) 埠

5、/usr/bin/url、/usr/bin/wget 命令是否被重新命名為/usr/bin/curl1和/usr/bin/wget1

技術分析

病毒樣本加了UPX殼：

該挖礦木馬是採用go語言編譯的，脫殼後看到了golang相關的字串：

經過解析後，函式列表如下：

木馬啟動後會先終結競爭對手的程式

隨後釋放config.json、secure.sh、auth.sh、xmrig等惡意檔案，其中xmrig為挖礦程式

隨後啟動ssh爆破執行緒，對同網段其他終端發起ssh爆破進行傳播；

連線P2P殭屍網路；

IOC

礦池域名：

xmr.crypto-pool.fr

礦池賬號：

47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV

MD5：

06e1f988471336d788da0fcaa29ed50b

429258270068966813aa77efd5834a94

20552242cd4b5e8fa6071951e9f4bf6d

深信服安全產品處置方案

1. 深信服EDR3.5.6版本最新整合Linux專殺框架，針對活躍挖礦家族進行精準識別和深度查殺，建議升級至3.5.6版本，更新至最新病毒庫，並接入深信服安全雲腦，及時檢測查殺。

2.深信服安全感知、下一代防火牆使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。