歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

DDG挖礦僵尸網絡病毒4004來襲

來源:本站整理 作者:佚名 時間:2019-09-17 TAG: 我要投稿

近日,深信服安全團隊接到反饋,某虛擬平臺大量機器CPU占用非常高,懷疑中了挖礦病毒。經過安全專家排查,發現還存在ssh爆破行為。進一步分析后,判斷其為DDG挖礦病毒。

DDG挖礦病毒(國外稱其為Linux.Lady)是一款在Linux系統下運行的惡意挖礦病毒,前期其主要通過ssh爆破,redis未授權訪問漏洞等方式進行傳播,近年來其更新非常頻繁,已經出現多個版本,本次捕獲到的是4004版本。

詳細分析
本次其相對于以往的版本主要體現在其增加了2個漏洞利用,分別為supervisord的遠程命令執行漏洞CVE-2017-11610和nexus倉庫管理器的遠程代碼執行漏洞CVE-2019-7238。

DDG初始入口點為一個下載腳本,主要根據機器的平臺架構選擇對應版本的ddg二進制文件(i686和x86_64)

 創建定時任務執行持久感染

再次嘗試分析之后,發現其i.sh文件里面的一些固定位置的內容已經隨機變換了,可以從這方面初步了解到黑產的自動化

下載的是DDG的go語言編譯的母體文件,其主要作用有創建守護進程、創建后門、下載挖礦程序挖礦、命令執行這4個功能。
獲取用戶home目錄,在當前目錄下生成一個.ddg的隱藏文件夾,在該目錄下生成一個bolt數據庫文件4004.db,該數據庫文件中保存對執行過的命令進行記錄,保存集群節點信息。




其中,創建后門主要是將惡意程序內置的ssh公鑰寫入驗證秘鑰文件中,實現免密登錄:

其ssh公鑰為:

命令執行,連接集群中的機器獲取配置信息:


然后對獲取到的配置信息進行解碼獲取指令,指令解密如下。其中針對之前的systemdminer,有了針對性的對抗,對其域名做重定向、kill對應進程以及文件做了清除。

本次除了原本的ssh爆破以及redis未授權訪問之外,新添加了2個漏洞利用分別為CVE-2019-7238,CVE-2017-11610。可以看到在下發的配置文件中對ssh(22, 1987,2222)、redis(端口6379, 6389, 7379, 26379)和nexus(8081)進行掃描。



nexus的遠程代碼執行漏洞CVE-2019-7238

supervisord的遠程代碼執行漏洞CVE-2017-11610

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局