近期DDG挖矿病毒防护与分析

0x01 导语

最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下
近期DDG挖矿病毒防护与分析

该威胁可以被阿里云态势感知发现并产生警报:
近期DDG挖矿病毒防护与分析

本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析

0x02 恢复与防护

如果服务器出现CPU占用异常得高,并且占用的进程名称出现关键字ddg*(*是任意匹配符)字样,可以判断服务器中已经被植入了该DDG挖矿病毒

由于该挖矿病毒主要通过Redis进行传播,如果服务器上开启了Redis服务,一定要访问控制,如IP白名单、使用密码验证等,并且设置高强度密码,防止被爆破,Redis的相关攻击可以参考:

http://www.freebuf.com/vuls/148758.html(webshell写入、ssh的key写入等)

在已经感染的情况下,仅仅将CPU占用很高的进程通过kill杀掉,如qW3xT.2,是不能解决问题的,因为不仅存在守护进程ddg*会重启挖矿程序,甚至cron定时计划也已经被篡改。
可以通过下面的步骤进行恢复:

1、通过top查看qW3xT.2ddg*进程号,如:

近期DDG挖矿病毒防护与分析

2、通过kill杀掉这两个进程

3、通过find / -name qW3xT.2find / -name ddg*搜索命令进行查找,将搜索到的相关文件进行删除

4、清除定时任务中被恶意写入的项,定时任务文件路径:

/var/spool/cron/root
/var/spool/cron/crontabs/root

0x03 行为分析

态势感知报警中的异常执行的命令为:
近期DDG挖矿病毒防护与分析

查看下载的shell脚本内容:

近期DDG挖矿病毒防护与分析

该脚本创建了crondig定时任务,在如下两个文件中写入内容,每15分钟再次下载该shell并且执行

/var/spool/cron/root
/var/spool/cron/crontabs/root

同时,如箭头所指内容,根据uname -m判断32位或64位后进一步下载恶意程序ddg*
追溯到恶意程序http://149.56.106.215:8000/static/3013 ,在线查杀平台virustotal报毒:
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

在沙箱中运行此样本,观察程序行为,通过lsof查看进行,发现大量的访问一些公网地址的8000端口:
近期DDG挖矿病毒防护与分析

之后,疑似开始扫描内网的一些IP,并且访问的都是7379端口、6380端口:
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

最后下载创建/tmp/qW3xT.2文件,并且和ns528389.ip-149-56-106.net的8000端口建立连接,该域名解析地址正式上面出现的IP地址:
近期DDG挖矿病毒防护与分析

抓包分析,看到服务器通过http协议向攻击者访问/slave的行为,并且下载了/static/qW3xT.2
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

在访问/slave的响应中,存在Miner字样:
近期DDG挖矿病毒防护与分析
ddg*下载完成qW3xT.2文件后开始执行,并且很快CPU占用飙升,并且与一台服务器不停作交互:
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

上一篇:Canvas的效果操作及save()和restore()方法应用


下一篇:MySQL 8.0 首个自适应参数横空出世