WorkMiner挖矿病毒分析处理指导手册

WorkMiner挖矿病毒分析及处理指导手册样本信息病毒名WorkMiner(Trojan.CoinMiner/Linux!1.D8A3)文件大小4.17MB(32位程序)4.44MB(64位程序)文件MD506E1F988471336D788DA0FCAA29ED50B(32位程序)429258270068966813AA77EFD5834A94(64位程序)文件类型ELF文件加壳情况被修改的UPX壳编程语言Go语言病毒类型挖矿木马传播方式SSH弱口令爆破危害概述占用计算机运算资源及网络资源简介：一种挖掘加密货币（门罗币）的挖矿病毒，严重消耗资源影响正常业务，自带暴力破解SSH登陆的模块，并探测其他终端并进行SSH暴力破解。病毒运行分析：登陆系统后，使用top命令可以看到work32进程排在第一位，严重消耗系统资源。自带暴力破解SSH登陆的模块，通过netstat-an命令看到中招的主机在登陆很多主机的SSH端口在/tmp/目录释放并运行挖矿病毒xmr

，生成挖矿配置文件config.json矿池地址：xmr.crypto-pool.fr:6666"，钱包地址：47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV可以看到此钱包应该是最近开启的，目前已经挖取大约1650人民币的门罗币。5、设定自启动项与守护进程，确保病毒可持续存活在系统中守护进程：./work32-deamon、./work64-deamon病毒详细分析病毒运行期间会执行以下操作：使用系统命令筛选并结束机器内运行的其他挖矿木马进程，确保独占资源ps-ef|grepddg|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepxmr|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|greptcp:|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepx86_|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepminer|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|greppool.|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepmonero|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepprohash|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepstratum|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep.daemond|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepCircle_MI|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepkworker34|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grepcryptonight|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/tmp/thisxxs|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/usr/bin/.sshd|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/opt/yilu/mservice|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/opt/yilu/work/xig/xig|grep-vgrep|awk'{print$2}'|xargskill-9ps-ef|grep/usr/bin/bsd-port/getty|grep-vgrep|awk'{print$2}'|xargskill-9释放文件/tmp/xmr（XMRig挖矿程序）/tmp/config.json（挖矿程序配置文件）/tmp/secure.sh（封禁登陆失败的IP地址）/tmp/auth.sh（封禁登陆失败的IP地址）32位系统下释放/usr/.work/work32（病毒母体）64位系统下释放/usr/.work/work64（病毒母体）图：写入的config.json部分内容图：写入的secure.sh文件内容图：写入的auth.sh文件内容向root用户的SSH已授权公钥文件尾部追加攻击者的SSH公钥图：相关代码图：被追加的公钥在/var/spool/cron/crontabs/root和/etc/crontab中创建计划任务，实现挖矿程序的定时执行32位系统下内容为：0****root/usr/.work/work3264位系统下内容为：0****root/usr/.work/work64调用iptables开放如下端口：UDP：8000TCP：8017图：相关代码使用mv命令对/usr/bin/curl和/usr/bin/wget进行重命名mv/usr/bin/curl/usr/bin/curl1&mv/usr/bin/wget/usr/bin/wget1尝试使用内置的弱密码字典对网内其他机器进行登陆尝试使用到的弱密码类型：日期对应的数字形式（如19830803）、常见的英文单词、常见的人名汉语拼音（如jiangbin）、其他常用密码及变体（如password、P@ssword）图：部分代码连接P2P僵尸网络图：部分代码处置及防范建议病毒使用SSH弱口令爆破进行传播，请确保机器上使用的SSH密码有足够高的强度，被感染的机器请立即更改SSH密码对于已经感染的机器，除了使用安全产品进行查杀之外，还需要手工清除病毒在/root/.ssh/authorized_keys留下的公钥和病毒留下的计划任务，具体需要清除的内容参见上面的分析报告。如相关机器无公钥登陆需求，也可直接删除相关文件此外，建议相关机器排查如下问题避免以后遭受其他病毒入侵Redis未授权访问：Redis默认配置下是6379端口是没有认证的，一旦监听0.0.0.0，那么内网任何机器都可以访问，而这个可以被病毒利用向目标机器写入crontab实现病毒驻留不使用的话建议直接封禁端口，必须用的就配置授权访问Web应用程序相关漏洞：目前病毒主要利用的漏洞涉及到的Web应用程序为Elastic

Search、Oracle

WebLogic建议及时更新版本手动应急方案：清理系统定时任务crontab-e保留方框中的，其他的删除杀掉病毒进程kill-9$(ps-ef|grepwork32|grep-vgrep|awk'{print$2}')kill-9$(ps-ef|grepwork64|grep-vgrep|awk'{print$2}')kill-9$(ps-ef|grepxmr|grep-vgrep|awk'{print$2}')删除病毒文件rm-rf

/usr/.work/rm-rf

/tmp/xmrrm-rf

/tmp/config.jsonrm-rf

/tmp/secure.shrm-rf

/tmp/auth.sh修改ssh登录配置，禁止root登录新增用户test，并设置密码为Test123！修改ssh的配置文件，并重启ssh服务重启ssh服