IDA中文网站 > 技术问题 > Linux挖矿病毒的清除与分析

Linux挖矿病毒的清除与分析

发布时间:2022/10/17 18:02:16

本文通过对Linux服务器出现访问卡顿的问题入手分析,完成了对挖矿病毒的清除工作,对所涉及的样本进一步分析和排查,因为挖矿属于互联网新兴金融领域应用,故此被收集为应用案例,希望对关心相关领域的朋友有所帮助和启发。

起因说明:

作者在大学期间曾搭建了服务器用于学习研究项目,某日发现服务器访问卡顿并出现高CPU占用的情况,怀疑是被病毒入侵后,成为了挖矿的机器,导致CPU占用率高涨,访问异常。

 

一、清除过程:

分析部分

在使用TOP命令查看CPU进行后,发现一个叫做sysupdate进程在占用资源,基本可以确认是它的问题,首先我们需要找到它,这时可以使用命令:

此时应该可以查看到病毒的PID号,接下来为了获取绝对路径,使用命令:

命令运行后,得到sysupdate的绝对路径在/etc/sysupdate下,我们把它下载到本地,上传到VirusTotal进行多种杀毒程序分析:

得到的结果已经很明显,它确实是挖矿病毒,需要清除掉。

 

开始清除

首先尝试结束掉进程,使用命令:kill-9{pid号},直接rm-f sysupdate会提示以下信息:

基于以往经验,应该是病毒使用了chattr+i的命令。我们只要先执行chattr-i sysupdate就可以正常删除。

 

复发问题

执行过删除操作命令后,进程很快就又被创建出来了,分享应该是存在有守护进程之类的程序。为了解决复发的问题,对sysupdate进行更进一步的分析,会发现其并不是病毒本身,只时XMR挖矿程序,也就是说删除它并不能解决。

 

关于分析的方法,推荐使用IDA、FindStr等工具提串,经过在虚拟机的运行可以获得如下的截图:

定时任务

按照一般分析逻辑,先对日志进行检查,但并没有发现任何收获,怀疑是已经被清理掉。这种情况下,定时任务是下一个突破口,先来查询试试:

提醒一下,还需要注意查看定时任务的日志内容:

日志中可能会存在太多数据,建议在查看时使用命令|grep-v{要排除的关键字}排除无用信息,我们发现了应该是update.sh的问题。

update.sh分析

找到了这个定时执行的源头,继续进行分析,update.sh的内容和相关样本在文末有提供下载。

 

在/etc下下载了config.json(挖矿配置)、sysupdate(XMR挖矿软件)、update.sh(本脚本)、networkservice(scanner扫描并入侵其他的主机)、sysguard(watchdog用于监控并保证病毒的正常运行以及更新)并保证他们以root权限运行。

我们可以看到,程序会干掉别的挖矿病毒(见kill_miner_proc函数),创建/root/.ssh/authorized_keys,添加病毒作者自己的公钥,保证其可以使用SSH登录到服务器,评估为后门。

然后就是添加定时任务,为文件添加chattr+i,修改IPTABLES,清楚日志,关闭SELinux等等。

 

修复过程说明

1.rm/var/spool/cron/root或者crontab-r删除定时任务。

2.kill命令将相关进程干掉,用chattr-i和rm命令,将上述/etc下的文件全部删除。

3./root/.ssh/authorized_keys也删掉或修复。

至于IPTABLES、SELinux的恢复,就看大家的需求了。

 

二、样品分析

接着我们对样本进一步分析,也就是networkservice文件的分析:

 

分析准备

通过查询可以得知壳是UPX,直接使用upx-d即可完成脱壳。然后使用IDA打开发现结构很乱,Shift+F7打开Program Segmentation:

看到.gopclntab,我们基本可以确定是golang编写而来。我们这里使用IDAGolangHelper来帮助恢复符号信息,从Github下载额外插件后,将脚本拷贝到IDA目录的python文件夹下,重启IDA,菜单选择File-Script Command..导入go_entry.py并运行:

特殊说明:IDA7.0可能会遇到idc_bc695.py文件的MakeStr报错,解决办法可以百度获得。

如图所示,前两个按钮是用于检测Go语言的版本,输出在Output window内,推荐选择Go1.10。然后按下剩下全部按钮进行修复。

 

再次看Functions window就舒服多了。不过字符串还是看着非常非常难受,因为Golang的字符串是堆成一坨的,用的时候通过偏移以及长度取。所以IDA没法很好的识别,只能自己从偏移处选定指定长度再按下A键进行标注。

功能分析

我们接下来就可以从main_main函数开始看,整个程序的大概流程:

1.首先是在hxxps://pixeldra.in/api/download/I9RRye下载ips_cn.txt并保存为dkelc:

2.ips_cn.txt的内容实际上就是大量的国内ip段的十进制表示,为之后的扫描入侵做准备:

程序内包含了大量的exploit。基本都是RCE即远程命令执行,下表做了部分列举:

以Redis未授权漏洞为例作分析,首先会去尝试空口令和弱口令爆破,是否可以成功连接。

首先设置Redis的stop-writes-on-bgsave-error为no,执行Redis命令FlushAll清空数据表。

设置dbfilename为Root,即设置持久化文件名为root,对应的Redis命令为:

紧接着设置dir到定时任务目录var/spool/cron,对应Redis命令为:

执行完上面的命令后,Redis之后的数据就会保存到/var/spool/cron/root,即Root用户的定时任务文件里,紧接着拼接curl下载并执行远程shell的语句,并调用Save写入文件中:

接下来是sysguard

这个程序作者命名为watchdog,主要功能就是监控以上提到的各个程序,以及定时任务等是否能正常启动。目前还不知道和网络上的挖矿病毒watchdog是否有关联。另外在分析过程中,不仅仅发现有Linux版,其实还存在Windows版,它会执行下面的命令:

对命令进行base64解密,获得下面的代码:

即下载执行update.ps1,还没有什么新鲜功能,我们利用火绒就可以查杀拦截:

Windows版的下载地址如下,因为是Go语言编写的,其实内容都是大同小异:

最后附上文中提到的样本下载地址,供学习参考:

https://github.com/xuing/hello-world/blob/master/%E6%8C%96%E7%9F%BFlinux_sysupdate.zip

原文地址:https://www.freebuf.com/vuls/200289.html

标签:

读者也访问过这里:
IDA
反汇编程序软件
立即咨询
官方交流群:623715825 立即加群
400-8765-888 kefu@makeding.com
热门文章
IDA一些常用到的功能及其快捷键
通常情况下,我们使用反编译工具是为了在没有源代码的情况下促进对程序的了解,以便于我们分析软件的漏洞、分析编译器生成的代码,以验证编译器的性能和准确性,同时也可以用来分析软件是否带有恶意程序,提高安全性。
2021-05-17
IDA反汇编流程视图的常用基本操作设置
IDA中反汇编窗口中有两种不同的形式,分别是列表模式和图形模式,IDA默认打开是图形模式,就是反汇编流程视图,可以用来分析程序函数的具体运行情况。
2021-06-15
IDA反编译界面之流程预览、函数窗口介绍
在上节《IDA反编译界面之工具栏、导航栏、输出栏介绍》中,我们已经认识了IDA主界面六大窗口中的前三个窗口,接下来我们还需要认识余下的三大窗口,分别是主视图窗口、流程预览窗口和函数窗口。
2021-03-16
IDA的初始使用说明和界面简介
IDA能帮助我们分析恶意软件、分析系统漏洞、验证编译器的性能,其支持在Mac系统、Windows系统、Linux系统中使用,是一款非常优秀的反编译软件。
2021-03-16
使用IDA数据库搜索功能搜索内容
IDA提供了专用的搜索工具,多种不同的搜索方式,帮助我们在IDA数据库中快速搜索内容,并导航到页面上的指定位置。该软件设计了许多类型的数据显示来总结特定类型的信息(如字符串、名称),以方便我们查找这些信息。
2021-03-18
如何在IDA反编译窗口中编辑函数
IDA是一款用于多个平台系统上的文件反编译软件,它通过递归下降的方式帮我们在加载文件的同时自动分析反编译文件,并将结果写入到对应生成的数据库中,供多方查看编辑。
2021-03-18
最新文章
2022-10-15
2022-10-15

微信公众号

欢迎加入 IDA 产品的大家庭,立即扫码关注,获取更多软件动态和资源福利。

咨询热线

在线咨询

限时折扣