关于ZAKER 融媒体解决方案 合作 加入

DDG 挖矿僵尸网络病毒 4004 来袭

背景

近日,深信服安全团队接到反馈,某虚拟平台大量机器 CPU 占用非常高,怀疑中了挖矿病毒。经过安全专家排查,发现还存在 ssh 爆破行为。进一步分析后,判断其为 DDG 挖矿病毒。

DDG 挖矿病毒 ( 国外称其为 Linux.Lady ) 是一款在 Linux 系统下运行的恶意挖矿病毒,前期其主要通过 ssh 爆破,redis 未授权访问漏洞等方式进行传播,近年来其更新非常频繁,已经出现多个版本,本次捕获到的是 4004 版本。

详细分析

本次其相对于以往的版本主要体现在其增加了 2 个漏洞利用,分别为 supervisord 的远程命令执行漏洞 CVE-2017-11610 和 nexus 仓库管理器的远程代码执行漏洞 CVE-2019-7238。

DDG 初始入口点为一个下载脚本,主要根据机器的平台架构选择对应版本的 ddg 二进制文件 ( i686 和 x86_64 )

创建定时任务执行持久感染

再次尝试分析之后,发现其 i.sh 文件里面的一些固定位置的内容已经随机变换了,可以从这方面初步了解到黑产的自动化

下载的是 DDG 的 go 语言编译的母体文件,其主要作用有创建守护进程、创建后门、下载挖矿程序挖矿、命令执行这 4 个功能。

获取用户 home 目录,在当前目录下生成一个 .ddg 的隐藏文件夹,在该目录下生成一个 bolt 数据库文件 4004.db,该数据库文件中保存对执行过的命令进行记录,保存集群节点信息。

其中,创建后门主要是将恶意程序内置的 ssh 公钥写入验证秘钥文件中,实现免密登录:

其 ssh 公钥为:

命令执行,连接集群中的机器获取配置信息:

然后对获取到的配置信息进行解码获取指令,指令解密如下。其中针对之前的 systemdminer,有了针对性的对抗,对其域名做重定向、kill 对应进程以及文件做了清除。

本次除了原本的 ssh 爆破以及 redis 未授权访问之外,新添加了 2 个漏洞利用分别为 CVE-2019-7238,CVE-2017-11610。可以看到在下发的配置文件中对 ssh ( 22, 1987,2222 ) 、redis ( 端口 6379, 6389, 7379, 26379 ) 和 nexus ( 8081 ) 进行扫描。

nexus 的远程代码执行漏洞 CVE-2019-7238

supervisord 的远程代码执行漏洞 CVE-2017-11610

挖矿程序 /tmp/SzDXM,可以看到其编译于 2019 年 8 月 29 日

查询硬编码的钱包地址相关信息,目前该地址并没有太多的收益:

解决方案

病毒防御

深信服安全团队再次提醒广大用户,注意日常防范措施:

· 及时给电脑打补丁,修复漏洞。

·对重要的数据文件定期进行非本地备份。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

IOCs

钱包地址:8AzmXnQJ4kjNmcE4w6mwVabzhUTZ4saj5rmBgJosvrD7ag7TPTG2U4Kruv5Mevxp2BE8K6n9YJGfeLYZzkCDUdNGHT8sUy

C2:68.183.140.39

URI:http://103.219.112.66:8000/slave

http://68.183.140.39:8000/static/4004/ddgs.i686

http://68.183.140.39:8000/static/4004/ddgs.x86_64

http://68.183.140.39:8000/static/SzdXM

MD5:

ddgs.x86_64 : BDFA1C43B3E03880D718609AF3B9648F

ddgs.i686 : 76309D50AD8412954CA87355274BD8FF

SzdXM : F24E35D722150B5E2E70F316734D88F1

参考链接

https://www.anquanke.com/post/id/170021

https://icematcha.win/?p=1189

https://www.52pojie.cn/thread-841311-1-1.html

以上内容由"嘶吼RoarTalk"上传发布 查看原文
相关标签 redis僵尸

觉得文章不错,微信扫描分享好友

扫码分享