0x01 导语
最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下
该威胁可以被阿里云态势感知发现并产生警报:
本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析
0x02 恢复与防护
如果服务器出现CPU占用异常得高,并且占用的进程名称出现关键字ddg*(*是任意匹配符)
字样,可以判断服务器中已经被植入了该DDG挖矿病毒
由于该挖矿病毒主要通过Redis进行传播,如果服务器上开启了Redis服务,一定要访问控制,如IP白名单、使用密码验证等,并且设置高强度密码,防止被爆破,Redis的相关攻击可以参考:
http://www.freebuf.com/vuls/148758.html(webshell写入、ssh的key写入等)
在已经感染的情况下,仅仅将CPU占用很高的进程通过kill杀掉,如qW3xT.2
,是不能解决问题的,因为不仅存在守护进程ddg*
会重启挖矿程序,甚至cron定时计划也已经被篡改。
可以通过下面的步骤进行恢复:
1、通过top查看qW3xT.2
和ddg*
进程号,如:
2、通过kill杀掉这两个进程
3、通过find / -name qW3xT.2
和find / -name ddg*
搜索命令进行查找,将搜索到的相关文件进行删除
4、清除定时任务中被恶意写入的项,定时任务文件路径:
/var/spool/cron/root
/var/spool/cron/crontabs/root
0x03 行为分析
态势感知报警中的异常执行的命令为:
查看下载的shell脚本内容:
该脚本创建了crondig定时任务,在如下两个文件中写入内容,每15分钟再次下载该shell并且执行
/var/spool/cron/root
/var/spool/cron/crontabs/root
同时,如箭头所指内容,根据uname -m
判断32位或64位后进一步下载恶意程序ddg*
:
追溯到恶意程序http://149.56.106.215:8000/static/3013
,在线查杀平台virustotal
报毒:
在沙箱中运行此样本,观察程序行为,通过lsof查看进行,发现大量的访问一些公网地址的8000端口:
之后,疑似开始扫描内网的一些IP,并且访问的都是7379端口、6380端口:
最后下载创建/tmp/qW3xT.2文件,并且和ns528389.ip-149-56-106.net
的8000端口建立连接,该域名解析地址正式上面出现的IP地址:
抓包分析,看到服务器通过http协议向攻击者访问/slave
的行为,并且下载了/static/qW3xT.2
:
在访问/slave的响应中,存在Miner字样:
在ddg*
下载完成qW3xT.2
文件后开始执行,并且很快CPU占用飙升,并且与一台服务器不停作交互: