password
status
date
icon
category
tags
slug
summary

0x00 背景

简单分析后发现是 2020 年出现的Systemd Miner挖矿木马的变种。分析及清理脚本如下

0x01 脚本分析

使用 doh 解析域名, tor 代理下载恶意文件。。。。好高级
流程 解析域名获取tor代理ip ---> 查找目标主机可读写路径 ---> 通过tor代理在服务器上下载恶意文件、使用 tor2web 访问 ---> 在目标主机上开启crontab计划任务 ---> 执行恶意文件并删除---> 判断恶意进程是否启动,未启动则再次拉起
代理下载
直连下载

0x02 恶意文件分析

用 ida 分析一波
notion image
不好静态调试,采用动态调试
notion image
/tmp/.X11-unix/01 — 守护进程 pid
notion image
执行以下脚本
1.清理常见安全产品的计划任务
2.屏蔽、干掉其他挖矿程序
下载 cmd 模块
下载 cpu 模块
请求 bot 模块
对/tmp/.X11-unix进行修改权限锁定

0x03 模块分析

3.1 cpu

挖矿模块
输出主进程 pid 到 /tmp/.X11-unix/11
notion image
通过jsonrpc方式登录到矿池
使用xmrig挖矿程序在136.243.90.99矿池挖门罗币

3.2 BOT

用于提交服务器各种信息(whoami、uname -m、uname -n、ip a)

3.3 CMD

随机下载 5 个程序中的一个,执行完后删除

1 redis 内网横向模块

notion image

2 postgresql 内网横向模块

notion image

3 hadoop yarn漏洞 8088端口 内网横向模块

notion image

4 Consul RCE 8500端口 内网横向模块

notion image

5 SSH 横向脚本

下载 sshd 文件后发现里面有三个文件
notion image

0x04 清理脚本

0x05 后记

Feb 24, 2022 又碰到这个挖矿了,以前让我脱不掉的 upx 魔改壳现在已经乱脱了😂
企业邮箱枚举工具开发Watchdog2022 恶意挖矿分析
公告
password
status
date
icon
category
tags
slug
summary
年轻时,你的潜力是无限的。说实在的,任何事都有可能做成。你可以成为爱因斯坦,也可以成为迪马吉奥。直到某一天,你身上的可能性消失殆尽,你没能成为爱因斯坦,你只是一个无名之辈。那真是糟糕的时刻。
🔮
所谓魔法不过是我们尚未了解的科学。
📚
潜心学习,低调发展。