背景概述
近日监控到一款Linux系统下活跃的挖矿木马,且出现大面积感染的情况,该挖矿木马采用GO语言编译,根据其行为特点,安全专家将其命名为WorkMiner挖矿木马。
该挖矿病毒入侵终端后会占用主机资源进行挖矿,影响其他正常业务进程的运转,传播过程中病毒文件会修改防火墙的规则,开放相关端口,探测同网段其他终端并进行SSH暴力破解,容易造成大面积感染。
![图片42.png 图片4.png](upload/attach/202109/1_VXEHXQMCESQK4YF.png)
/受感染主机出现的异常进程/
病毒现象
1、病毒启动后,会释放如下文件:
/tmp/xmr (xmrig挖矿程序)
/tmp/config.json (xmrig挖矿配置文件)
/tmp/secure.sh (封禁爆破IP)
/tmp/auth.sh (封禁爆破IP)
/usr/.work/work64 (病毒母体文件)
2、病毒进程
./work32-deamon
./work64 -deamon
/tmp/xmr
/usr/.work/work32
/usr/.work/work64
/bin/bash /tmp/secure.sh
/bin/bash /tmp/auth.sh
3、在 /var/spool/cron/crontabs/root 和 /etc/crontab 中创建计划任务:
![图片110.png 图片1.png](upload/attach/202109/1_QPVGW7ZPWJ4H86N.png)
4、修改防火墙规则,开放8000(udp) 和8017(tcp) 端口
![图片25.png 图片2.png](upload/attach/202109/1_PXS2JXBKPMH6GU5.png)
5、/usr/bin/url、/usr/bin/wget 命令是否被重命名为/usr/bin/curl1和/usr/bin/wget1
![图片32.png 图片3.png](upload/attach/202109/1_ACEXXTCZNCA267M.png)
技术分析
病毒样本加了UPX壳:
![图片52.png 图片5.png](upload/attach/202109/1_Q6VAK8YFAAEG8BR.png)
该挖矿木马是采用go语言编译的,脱壳后看到了golang相关的字符串:
![图片62.png 图片6.png](upload/attach/202109/1_93PH7P7BBGMZNA4.png)
经过解析后,函数列表如下:
![图片72.png 图片7.png](upload/attach/202109/1_VAGDS3PJSQEGJGM.png)
木马启动后会先终结竞争对手的进程
![图片83.png 图片8.png](upload/attach/202109/1_X9Q6WQGY8HGCN5D.png)
![图片94.png 图片9.png](upload/attach/202109/1_B69GWJJUJE3RRRW.png)
随后释放config.json、secure.sh、auth.sh、xmrig等恶意文件,其中xmrig为挖矿程序
![图片102.png 图片10.png](upload/attach/202109/1_BXVF96ZUJG29UKX.png)
随后启动ssh爆破线程,对同网段其他终端发起ssh爆破进行传播;
![图片112.png 图片11.png](upload/attach/202109/1_E8CSPZP6WWT93VT.png)
![图片122.png 图片12.png](upload/attach/202109/1_MW9UHNR527RKUBW.png)
连接P2P僵尸网络;
![图片132.png 图片13.png](upload/attach/202109/1_SBKEJNDEBGMA3WP.png)
![图片142.png 图片14.png](upload/attach/202109/1_A2WRBHG243PF7RX.png)
IOC
矿池域名:
xmr.crypto-pool.fr
矿池账号:
47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLCnfsjaV
MD5:
06e1f988471336d788da0fcaa29ed50b
429258270068966813aa77efd5834a94
20552242cd4b5e8fa6071951e9f4bf6d