当前位置：首页 > 渗透破解 > 正文内容

警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击

访客56年前 (1970-01-01)渗透破解632

感谢腾讯御见威胁情报中心来稿！

原文：https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA

一、概述

近日某企业Linux服务器出现卡慢，CPU占用高等现象，向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业 *** 运行情况进行安全审计。通过对故障服务器进行安全检查，发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化，定时任务下载执行病毒母体INT, INT内置了多个bash命令，会进一步下载执行Linux挖矿木马SystemMiner。

此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护，入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。

二、病毒分析

1. 入侵阶段

腾讯安全运维专家通过查看失陷主机相关日志，发现入侵者尝试数短时间内爆破SSH接近三千次，爆破入侵成功后会创建执行定时任务kpccv.sh。

2. 持久化

通过创建定时任务实现持久化，定时任务为sh脚本，脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。

Kpccv.sh经过bash64加密，其主要功能是下载病毒母体INT执行。为了避免下载地址失效，内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io，tor2web.in等得到完整的下载链接。

Kpccv.sh解密后的内容如下:

3. 病毒母体INT分析

INT为ELF格式可执行文件，运行后创建一子进程执行，内置了多个bash命令，经base64编码加密，每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。

3.1 本地持久化

该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码，其主要功能是下载执行病毒母体INT。

Base64解码后的bash脚本：

3.2 内网渗透&自保护

利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染，执行命令经过base64编码，解码后其功能为下载执行病毒母体INT

下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。

下载可执行文件bot,trc模块执行，目前下载链接已失效。

3.3 清理其他挖矿木马&屏蔽矿池网址

该模块主要功能是清理机器上的挖矿木马，并且修改hosts文件，将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0，以实现屏蔽其他挖矿网址实现独占系统资源。

3.4 下载执行挖矿木马

执行最核心的功能，下载执行挖矿木马。下载链接通过拼接而成，tencentxjy5kpccv.拼接tor2web.io等，挖矿模块cpu为ELF格式可执行文件。

执行门罗币挖矿，矿池配置如下：

三、安全建议

腾讯安全专家建议各企业对Linux服务器做以下加固处理：

1.采用高强度的密码，避免使用弱口令，并建议定期更换密码。建议服务器密码使用高强度无规律密码，并强制要求每个服务器使用不同密码管理；

2.排查相关Linux服务器是否有kpccv等相关定时任务，有则结束相关进程，清理相关木马文件；

3.在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。

4.推荐企业部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html）

IOCs:

MD5:

177e3be14adcc6630122f9ee1133b5d3

e5f8c201b1256b617974f9c1a517d662

b72557f4b94d500c0cd7612b17befb70

域名:

tencentxjy5kpccv.t.tor2web.io

tencentxjy5kpccv.t.tor2web.to

tencentxjy5kpccv.t.tor2web.in

tencentxjy5kpccv.t.onion.to

tencentxjy5kpccv.t.onion.in.net

tencentxjy5kpccv.t.civiclink.network

tencentxjy5kpccv.t.onion.nz

tencentxjy5kpccv.t.onion.pet

tencentxjy5kpccv.t.onion.ws

tencentxjy5kpccv.t.onion.ly

矿池:

136.243.90.99:8080

扫描二维码推送至手机访问。

本文链接：https://w-123.com/33003.html

标签: HackerNews 黑客安全互联网国际威胁情报维基解密

返回列表

没有更早的文章了...

下一篇：景点门票价格图片 - 北京旅游团购网站大全

“警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击” 的相关文章

据称黑客泄露了多达 37GB 的来自微软的源代码

据称，一个黑客组织泄露了微软37GB的源代码，这些代码与包括Bing和Cortana在内的数百个项目有关，这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称，该7zip档案包含了从微软获得的250多个内部项目。据称这些数据来自微软的Az...

全新 SideWalk 后门攻击针对美国电脑零售业务

一家位于美国的电脑零售公司成为SideWalk攻击的目标，这种攻击以前从未被发现，是一个中国高级黑客组织最近开展的活动一部分，该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名。斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击，被认为与Wi...

微软观察到许多攻击者开始对 Log4j 漏洞加以利用

12月14日，Apache Log4j 2团队发布了Log4j 2.16.0以修复这些漏洞。在补丁应用之前，所有现有的Apache Log4j运行服务器都将成为黑客的潜在目标。微软最近更新了预防、检测和解决Log4j 2漏洞的指南，向客户给出了解决和预防方案。据微软称，攻击者正在积极利用Log4j...

奥斯汀街头骗子盯上停车咪表：放置自制二维码以窃取付款信息

永远不要低估骗子的狡猾。不法分子从人们尤其是不太懂技术的人那里偷钱的方法多得令人眼花缭乱。最近在美国几个城市发现的一个做法是在停车咪表上贴上不属于设备本身的二维码，引导用户进入虚假网站，然后收集受害者的付款信息。奥斯汀和圣安东尼奥的执法部门在假期期间发现了一些出现在停车表上的二维码贴纸，并发出了...

黑客论坛惊现 RockYou2021 泄露密码数据集内含 84 亿条目

Cyber News 报道称，疑似迄今为止最大的一个泄露密码数据集，已经在某个知名的黑客论坛上被泄露。一位用户在该轮胎上发布了一个巨大的 100GB TXT 文件，其中包含了 84 亿个密码条目，而它很可能是整理了历史上多起密码泄露事件后合并而成的。发帖人表示，泄露密码字段的长度均在 6~20...