威胁直击 | DDG挖矿木马新型变种，针对云主机挖矿攻击加剧！

事件描述

近日，亚信安全截获了DDG挖矿木马的最新变种文件，此变种主要针对云主机，在以往版本的基础上嵌套了一层elf释放病毒shell脚本，该变种还会终止竞品挖矿，达到独占系统资源挖矿的目的。亚信安全将其命名为：Trojan.Linux.MINER.C。

攻击流程

亚信安全产品解决方案

亚信安全病毒码版本17.131.60，云病毒码版本17.131.71，全球码版本17.131.00已经可以检测，请用户及时升级病毒码版本。

病毒详细分析

病毒本体为elf文件：

使用readlink读取自身进程文件所在路径：

解密资源中的shell代码，其中解密后代码均为base64加密的shell：

在文件夹.X11-unix中创建01文件，此文件用于后续运行shell后存放病毒进程pid：

最后执行解密的shell：

➢ 第一段shell解密： 

√ 此脚本为挖矿程序的守护进程，主要用于监控挖矿程序是否正在运行，若停止运行则下载挖矿程序。

√ 此脚本使用 doh 解析域名，通过 tor 代理下载挖矿，和其他变种一样主要作用为绕过各大安全厂商的IDS防御。

√ 判断挖矿程序是否运行的方法如下图所示，通过获取.X11-unix/01中记录的挖矿进程来判断是否正在挖矿，若不存在此pid会重新启动一个挖矿：

√ 通过对比亚信安全以前捕获的同种类的挖矿，我们发现其代码逻辑基本一致，均是在当前用户下通过tor获取挖矿病毒的本体，挖矿程序会根据系统的架构下载，例如int.x86_64。

√ 此脚本第一行2OossFop8vSbHI1fjSzMJoolZfE29S为shell文件保存在本地的文件名以及相关计划任务：

打开后发现就是此脚本：

➢ 第二段shell脚本和第一个shell脚本基本一致。

➢ 第三段shell脚本主要用于删除竞品挖矿病毒。

√ 通过删除同类竞品挖矿病毒的计划任务以及文件，以达到独占系统资源的目的。我们在其中发现了unix.db变种，亚信安全早在2020年中已经捕获到此变种。

√ 结束与以下外联相关的进程：

√ 删除竞品挖矿的shell文件并结束系统中高占用cpu的进程。

√ 结束带有以下字符串的进程，其中kthreadii等进程也是linux中常见的挖矿病毒。

➢ 第四段shell为传播模块，以及结束一些云主机的服务。

√ 结束云主机相关的服务和文件。

√ knife ssh在所有的节点上调用 SSH 命令，命令解密后即为第一段shell。

√ 使用saltstack的cmd.run模块对下属机器统一执行挖矿。

√ 利用pssh传播：

√ 获取通讯过的hosts，并尝试连接。

在连接远程主机时不会显示交互式口令输入，会主动把对方的公钥加到known_hosts中，而不会提示用户是否要记录这样的信息，且当远程主机的公钥变化了，仍然会连接上，不会出现因为公钥不对连接失败。

√ ansible all -m shell -a登录其他主机传播：

手动清除方案

1. 运行cat /tmp/.X11-unix/01查看正在运行的病毒程序的pid，进程名为随机字符串；

2. 运行ps -elf|grep [pid]查看相关守护进程pid；

3. 使用kill命令停止以上进程；

4. 删除相关计划任务；

5. 重启机器。

预防方案

在/etc/hosts中屏蔽相关域名，例如：127.0.0.1  tor2web[.]in

安全建议

• 及时更新病毒码版本；

• 默认情况下禁止宏运行；

• 打开系统自动更新，并检测更新进行安装；

• 不要点击来源不明的邮件以及附件，邮件中包含的链接；

• 采用高强度的密码，避免使用弱口令密码，并定期更换密码；

• 尽量关闭不必要的端口及网络共享。

IOC

MD5: cfbe06f5b776a1307497a95847dba400