欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

近期DDG挖矿病毒防护与分析

程序员文章站 2022-06-12 08:58:01
...

0x01 导语

最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下
近期DDG挖矿病毒防护与分析

该威胁可以被阿里云态势感知发现并产生警报:
近期DDG挖矿病毒防护与分析

本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析

0x02 恢复与防护

如果服务器出现CPU占用异常得高,并且占用的进程名称出现关键字ddg*(*是任意匹配符)字样,可以判断服务器中已经被植入了该DDG挖矿病毒

由于该挖矿病毒主要通过Redis进行传播,如果服务器上开启了Redis服务,一定要访问控制,如IP白名单、使用密码验证等,并且设置高强度密码,防止被**,Redis的相关攻击可以参考:

http://www.freebuf.com/vuls/148758.html(webshell写入、ssh的key写入等)

在已经感染的情况下,仅仅将CPU占用很高的进程通过kill杀掉,如qW3xT.2,是不能解决问题的,因为不仅存在守护进程ddg*会重启挖矿程序,甚至cron定时计划也已经被篡改。
可以通过下面的步骤进行恢复:

1、通过top查看qW3xT.2ddg*进程号,如:

近期DDG挖矿病毒防护与分析

2、通过kill杀掉这两个进程

3、通过find / -name qW3xT.2find / -name ddg*搜索命令进行查找,将搜索到的相关文件进行删除

4、清除定时任务中被恶意写入的项,定时任务文件路径:

/var/spool/cron/root
/var/spool/cron/crontabs/root

0x03 行为分析

态势感知报警中的异常执行的命令为:
近期DDG挖矿病毒防护与分析

查看下载的shell脚本内容:

近期DDG挖矿病毒防护与分析

该脚本创建了crondig定时任务,在如下两个文件中写入内容,每15分钟再次下载该shell并且执行

/var/spool/cron/root
/var/spool/cron/crontabs/root

同时,如箭头所指内容,根据uname -m判断32位或64位后进一步下载恶意程序ddg*
追溯到恶意程序http://149.56.106.215:8000/static/3013 ,在线查杀平台virustotal报毒:
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

在沙箱中运行此样本,观察程序行为,通过lsof查看进行,发现大量的访问一些公网地址的8000端口:
近期DDG挖矿病毒防护与分析

之后,疑似开始扫描内网的一些IP,并且访问的都是7379端口、6380端口:
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

最后下载创建/tmp/qW3xT.2文件,并且和ns528389.ip-149-56-106.net的8000端口建立连接,该域名解析地址正式上面出现的IP地址:
近期DDG挖矿病毒防护与分析

抓包分析,看到服务器通过http协议向攻击者访问/slave的行为,并且下载了/static/qW3xT.2
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析

在访问/slave的响应中,存在Miner字样:
近期DDG挖矿病毒防护与分析
ddg*下载完成qW3xT.2文件后开始执行,并且很快CPU占用飙升,并且与一台服务器不停作交互:
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析
近期DDG挖矿病毒防护与分析