近期DDG挖矿病毒防护与分析

本文涉及的产品
云数据库 Redis 版,社区版 2GB
推荐场景:
搭建游戏排行榜
简介:

0x01 导语

最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下
image

该威胁可以被阿里云态势感知发现并产生警报:
image

本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析

0x02 恢复与防护

如果服务器出现CPU占用异常得高,并且占用的进程名称出现关键字ddg*(*是任意匹配符)字样,可以判断服务器中已经被植入了该DDG挖矿病毒

由于该挖矿病毒主要通过Redis进行传播,如果服务器上开启了Redis服务,一定要访问控制,如IP白名单、使用密码验证等,并且设置高强度密码,防止被爆破,Redis的相关攻击可以参考:

http://www.freebuf.com/vuls/148758.html(webshell写入、ssh的key写入等)

在已经感染的情况下,仅仅将CPU占用很高的进程通过kill杀掉,如qW3xT.2,是不能解决问题的,因为不仅存在守护进程ddg*会重启挖矿程序,甚至cron定时计划也已经被篡改。
可以通过下面的步骤进行恢复:

1、通过top查看qW3xT.2ddg*进程号,如:

image

2、通过kill杀掉这两个进程

3、通过find / -name qW3xT.2find / -name ddg*搜索命令进行查找,将搜索到的相关文件进行删除

4、清除定时任务中被恶意写入的项,定时任务文件路径:

/var/spool/cron/root
/var/spool/cron/crontabs/root

0x03 行为分析

态势感知报警中的异常执行的命令为:
image

查看下载的shell脚本内容:

image

该脚本创建了crondig定时任务,在如下两个文件中写入内容,每15分钟再次下载该shell并且执行

/var/spool/cron/root
/var/spool/cron/crontabs/root

同时,如箭头所指内容,根据uname -m判断32位或64位后进一步下载恶意程序ddg*
追溯到恶意程序http://149.56.106.215:8000/static/3013 ,在线查杀平台virustotal报毒:
image
image

在沙箱中运行此样本,观察程序行为,通过lsof查看进行,发现大量的访问一些公网地址的8000端口:
image

之后,疑似开始扫描内网的一些IP,并且访问的都是7379端口、6380端口:
image
image

最后下载创建/tmp/qW3xT.2文件,并且和ns528389.ip-149-56-106.net的8000端口建立连接,该域名解析地址正式上面出现的IP地址:
image

抓包分析,看到服务器通过http协议向攻击者访问/slave的行为,并且下载了/static/qW3xT.2
image
image
image

在访问/slave的响应中,存在Miner字样:
image
ddg*下载完成qW3xT.2文件后开始执行,并且很快CPU占用飙升,并且与一台服务器不停作交互:
image
image
image

目录
相关文章
|
5天前
|
安全 网络安全 区块链
数据解密战:.mallox勒索病毒攻击下的数据保护
近期,网络安全领域再度掀起一场不安的浪潮,.Mallox勒索病毒作为最新一位悍匪登场,以其毒辣的加密技术,将用户的数据转瞬间变成了无解之谜。这股数字黑暗力量的出现引起了广泛关注,让用户和企业重新审视自身的网络安全策略。
数据解密战:.mallox勒索病毒攻击下的数据保护
|
监控 安全 程序员
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
计算机病毒的历史可以划分为三个时代:DOS时代、PC时代和互联网时代。
649 0
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
|
云安全 监控 安全
入侵横移十八般武艺如何防御?XMSSMiner挖矿蠕虫分析
近日,阿里云安全监测到一种利用多种漏洞入侵挖矿的恶意攻击,团伙不仅通过4层协议进行入侵,还集成了最新的Web RCE漏洞,由于其主要文件名为xmss,我们将该团伙命名为XMSSMiner。阿里云安全专家分析发现,该僵尸网络不仅通过SMB、SSH进行蠕虫化传播,还利用Yapi、Solr、Confluence等远程命令执行漏洞进行入侵,最终通过持久化方式进行挖矿,对用户主机资源、资产产生不良危害。
743 0
入侵横移十八般武艺如何防御?XMSSMiner挖矿蠕虫分析
|
弹性计算 负载均衡 安全
黑客的3种常见网络攻击手段【须知】
今天来给大家讲讲网络攻击的类型,之前的文章对于恶意软件进行了一定的阐述,但恶意软件只是威胁发起者的运送负载的手段,什么是负载?小编的理解是承载着黑客的攻击代码,攻击行为的内容叫做负载。这种负载因为某些手段被送到了受害者的计算机上,并且被运行安装,负载便可以用来从内部导致各种鱼网络相关的攻击。威胁的发起者也可以从外部攻击网络。
|
安全 Windows 网络安全
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
3168 0
|
安全 云安全 Windows
威胁预警 | watchbog挖矿蠕虫升级,利用Bluekeep RDP等多个漏洞蓄势待发
近日,阿里云安全团队监测到watchbog挖矿蠕虫的变种。该蠕虫在原先挖矿功能与C&C通信的基础上[1],增加了使用多个CVE漏洞进行传播的能力,利用这些漏洞,攻击者可以执行任意指令非法牟利或以此为跳板扩大攻击范围,对被入侵主机带来极大的安全隐患。
3891 0
|
安全 算法
安全专家称发现防护零日攻击新方法
据国外媒体报道,加利福尼亚大学戴维斯分校和英特尔公司的计算机安全实验室研究员,发现了一种可以对付零日攻击的新方法。 传统的防病毒软件可以检测到已知病毒,但是对新型的恶意软件却束手无策,尤其是对著名的零日攻击更加无计可施。
844 0
|
Web App开发 安全 算法
微软再爆IE 0day漏洞 绿盟科技提供预警及防护手段
继今年1月14日微软IE浏览器曝出“Aurora”0day漏洞而引发了大规模的挂马攻击后,昨日微软IE浏览器再次爆出严重级别的0day漏洞(Microsoft IE畸形对象操作内存破坏漏洞CVE-2010-0806),受影响的IE浏览器版本包括IE7.0、IE6.0 SP1、IE6.0等几乎所有主流版本。
970 0
|
安全 Shell 云安全
威胁快报|ProtonMiner挖矿蠕虫扩大攻击面,加速传播
​​背景 近日,阿里云安全监测到一种挖矿蠕虫,正在互联网上加速传播。阿里云安全根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner。据分析,这种蠕虫与TrendMicro于2018年12月曾报导过的“利用ElasticSearch旧漏洞传播的蠕虫”非常相似,可能是同一团伙所为。
10612 0