近期DDG挖矿病毒防护与分析

0x01 导语

最近观察到，7月底8月初以来，又较大范围出现多例感染DDG挖矿病毒的情况（DDG从去年开始出现和活跃），该病毒通过Redis服务传播，并且运行在Linux操作系统环境下

该威胁可以被阿里云态势感知发现并产生警报：

本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析

0x02 恢复与防护

如果服务器出现CPU占用异常得高，并且占用的进程名称出现关键字ddg*(*是任意匹配符)字样，可以判断服务器中已经被植入了该DDG挖矿病毒

由于该挖矿病毒主要通过Redis进行传播，如果服务器上开启了Redis服务，一定要访问控制，如IP白名单、使用密码验证等，并且设置高强度密码，防止被**，Redis的相关攻击可以参考：

http://www.freebuf.com/vuls/148758.html（webshell写入、ssh的key写入等）

在已经感染的情况下，仅仅将CPU占用很高的进程通过kill杀掉，如qW3xT.2，是不能解决问题的，因为不仅存在守护进程ddg*会重启挖矿程序，甚至cron定时计划也已经被篡改。
可以通过下面的步骤进行恢复：

1、通过top查看qW3xT.2和ddg*进程号，如：

2、通过kill杀掉这两个进程

3、通过find / -name qW3xT.2和find / -name ddg*搜索命令进行查找，将搜索到的相关文件进行删除

4、清除定时任务中被恶意写入的项，定时任务文件路径：

/var/spool/cron/root
/var/spool/cron/crontabs/root

0x03 行为分析

态势感知报警中的异常执行的命令为：

查看下载的shell脚本内容：

该脚本创建了crondig定时任务，在如下两个文件中写入内容，每15分钟再次下载该shell并且执行

/var/spool/cron/root
/var/spool/cron/crontabs/root

同时，如箭头所指内容，根据uname -m判断32位或64位后进一步下载恶意程序ddg*：
追溯到恶意程序http://149.56.106.215:8000/static/3013 ，在线查杀平台virustotal报毒：

在沙箱中运行此样本，观察程序行为，通过lsof查看进行，发现大量的访问一些公网地址的8000端口：

之后，疑似开始扫描内网的一些IP，并且访问的都是7379端口、6380端口：

最后下载创建/tmp/qW3xT.2文件，并且和ns528389.ip-149-56-106.net的8000端口建立连接，该域名解析地址正式上面出现的IP地址：

抓包分析，看到服务器通过http协议向攻击者访问/slave的行为，并且下载了/static/qW3xT.2：

在访问/slave的响应中，存在Miner字样：

在ddg*下载完成qW3xT.2文件后开始执行，并且很快CPU占用飙升，并且与一台服务器不停作交互：