#原创分享#systemdMiner挖矿病毒研判过程分享
  

朱容成51537 955224人觉得有帮助

{{ttag.title}}
本帖最后由 朱容成51537 于 2021-5-13 17:38 编辑

1.  事件描述
客户在我们态势感知上查看到有台服务器中了systemdMiner挖矿病毒,但使用杀软查杀并没有查杀出任何问题,怀疑我们SIP误报,需要我们给出举证
76917609cee8679132.png
2.  事件排查
登录服务器,查看进程,没有发现可疑进程,CPU使用率也正常,并无挖矿迹象:
38890609cef29508d1.png


查看连接状态,查询到50010端口有大量CLOSE_WAIT状态连接,疑似异常行为:
96929609cef39838f3.png


具体查询为本机服务端口,有对外服务器但被防火墙拦截,判断非异常端口:
34211609cef5494f12.png


tmp目录查询到存在systemdMiner挖矿病毒残留文件,此文件为systemd-login-ddg  systemdMiner团伙通过 DDG 的网络基础设施下发的一个最主要的恶意程序systemd-login-ddg ,通过删除自身文件,创建守护进程并把进程号写入 /tmp/.X1M-unix 文件:
56824609cef8f1b9b2.png


进入.X11-unix可查看到历史进程PID111676214
77461609cefb541813.png


通过PID查看病毒进程已被结束
19813609cefc8f007a.png
50520609cefce4ae72.png


查看文件建立时间为8271830分由用户tsb创建:
21817609cefe438e78.png


tsb用户目录下查询到.systemd-login隐藏文件,此文件为systemdMiner病毒用来开机启动执行的脚本文件 /lib/systemd/systemd-login ,会从 C2 服务器下载 cron.sh 文件并执行。cron.sh 是经过高度混淆的 Shell脚本,最后,systemd-login-ddg 会继续执行一系列经过Base64 编码的 Shell 脚本。
该脚本共有 3 个关键函数,作用分别是:
    s1() : rapid7cpfqnwxodo.tor2web.fyi/slave 上报失陷主机信息。把失陷主机的当前用户名、CPU 架构、主机名以及当前用户的 cron table 4 组信息,拼接接成一个字符串,经过 Base64 编码后,设置为 HTTP 请求的 referervaule,以 HTTP GET 请求的方式发送到 C2
    s2(): C2 下载 systemd-resolve 文件并执行,system-resolve 集成了 YARN 未授权访问漏洞的 Exp,并以此传播;
    s3(): 利用 3 *nix 自动化运维工具 (ansible/salt/chef-knife) 和本机 SSH 密钥横向传播。横向传播用到的 Shell 脚本也经过了Base64 编码
14123609cf02fbfaad.png
16751609cf038dbebd.png


原始脚本经过 Base64 编码,解码后如下:
98609cf0fd27905.png
3.  事件结论


以上证明此主机曾经中过systemdMiner病毒,并在96日已被其他管理员查杀清除。因此再用杀软查杀无法扫除。且SIP告警时间停留再9月6日。证明SIP判断准确

95635609cf026dbab9.png

打赏鼓励作者,期待更多好文!

打赏
114人已打赏

水之蓝色 发表于 2021-5-14 21:55
  
学习一下,感谢分享!!
飞翔的苹果 发表于 2021-5-15 15:45
  
感谢分享,有助于工作,学习学习
暗夜星空 发表于 2021-5-17 10:16
  
坚持每日学习打卡
司马缸砸了光 发表于 2021-5-17 13:04
  
感谢分享,打卡学习。
cs1980 发表于 2021-5-17 14:41
  
感谢分享,学习学习。
李锐_湖北 发表于 2021-5-17 15:35
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
深藏功与名 发表于 2021-5-17 17:37
  
分析得很详细,值得学习。
深藏功与名 发表于 2021-5-17 17:38
  
登录服务器,查看进程,没有发现可疑进程,CPU使用率也正常,并无挖矿迹象:
山东_朱文鑫 发表于 2021-5-17 20:28
  
坚持努力,坚持打卡,坚持学习!!!!!!!!!!!!!
发表新帖
热门标签
全部标签>
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
GIF动图学习
在线直播
专家分享
干货满满
技术咨询
技术圆桌
安装部署配置
答题自测
原创分享
功能体验
新版本体验
SDP百科
幸运大转盘
每日一记
设备维护
运维工具
解决方案
玩转零信任
畅聊IT
SANGFOR资讯
标准化排查
月更计划
专家问答
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
云计算知识
用户认证
sangfor周刊
VPN 对接
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿

本版达人

ggbang

本周建议达人

adds

本周提问达人