紧急预警！WatchDogsMiner挖矿蠕虫大量感染Linux服务器

近日，某公司安全团队追踪到公有云上及外部Linux服务器存在大量被入侵，表现为/tmp临时目录存在watchdogs文件，出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况，严重影响用户业务。多个用户邀请某公司安全专家远程排查，最终经过分析确认，用户Linux服务器被植入新型恶意挖矿蠕虫，且较难清理。

某公司安全团队将其命名为WatchDogsMiner，并紧急发布预警，提醒企业用户及时开展自查修复，防范WatchDogsMiner挖矿蠕虫。

病毒名称：WatchDogsMiner

病毒性质：挖矿蠕虫

影响范围：国内不少用户受感染，包括公有云用户

危害等级：高危

传播方式：基于Redis未授权访问、集成SSH爆破实现内外网的蠕虫式传播。

如何确认是否中毒

通过服务器终端进行检查发现部分常用命令被删除后出现未找到命令：

authorized_keys文件被清空无法使用免密登录：

系统内置的mail邮箱也出现相关的通知类邮件，查看发现有定时任务的通知与相关的命令：

在计划任务的相关路径下发现一个root的计划任务：

使用某公司安全感知平台的用户，安全感知平台主动提示主机出现虚拟货币挖矿、数据库扫描、SSH暴力破解等多个安全事件：

病毒分析

[1] WatchDogsMiner整体比较复杂，病毒母体为一个sh脚本，来自pastebin.com/raw/sByq0rym

[2] sh脚本主要做了两个操作，净化主机环境，然后下载并运行挖矿病毒体。

[3] 挖矿病毒是一个elf文件，从thyrsi.com/t6/672/1550667479x1822611209.jpg处下载得到。

[4] 挖矿病毒使用go语言编写，病毒会通过SSH和Redis未授权访问进行传播，然后以守护进程的方式进行挖矿，挖矿的币种为门罗币。

WatchDogsMiner挖矿毒体分析

WatchDogsMiner病毒程序是由go语言编写的elf文件，程序包含了网络通信模块、加密算法、Redis攻击、SSH暴力破解、挖矿等自实现功能。

详细分析如下：

启动，执行pastebin上保存的母体脚本：

将挖矿模块写入/tmp/ksoftirqds并执行。

Redis攻击模块：

SSH暴力破解模块：

母体脚本功能分析

定时指定链接，执行母体脚本，并结束其他挖矿进程：

修改所需要操作的目录属性，删除定时任务及服务，清理billgates病毒相关进程和文件：

更新挖矿木马：

最后进行清理工作：

解决方案

WatchDogsMiner病毒清理：

1、删除恶意动态链接库 /usr/local/lib/libioset.so；

2、清理 crontab 异常项，删除恶意任务(无法修改则先执行4-a)；

3、使用kill命令终止挖矿进程；

4、排查清理残留的病毒文件；

a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b. chkconfig watchdogs off

c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

5、相关系统命令如netstat等可能被病毒删除，建议重新进行安装恢复；

6、由于文件只读且相关命令被hook，需要安装busybox并使用busybox rm命令删除；

7、部分操作需要重启机器生效。

WatchDogsMiner病毒防御：

一、为 Redis 添加密码验证；禁止外网访问 Redis；以低权限运行Redis服务。（重启 Redis 才能生效。）

二、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

三、某公司下一代防火墙、终端检测响应平台（EDR）均有防爆破功能。下一代防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。具体的配置步骤如下：

1、防火墙配置步骤：

①确认当前设备版本和规则库版本：

规则库版本：确认“IPS漏洞特征识别库”版本，保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

设备版本：建议升级至AF8.0.5及以上版本，同时开启杀毒功能，以获取更好的防护效果及更快速的更新能力。

②开启安全功能：

针对此次的WatchDogsMiner挖矿蠕虫防护，某公司 AF建议针对【内网主机】，可以开启“病毒防护功能”功能。针对【对外发布服务器】，可以开启“暴力破解”功能，配置步骤如下：

新增开启病毒防护功能的内容安全模板，如下图：

新增针对“内网主机”的防护策略，【策略】——【安全防护策略】——“新增”——“用户防护策略”，开启“内容安全”功能，动作选择“拒绝”。配置如下：

新增针对“对外发布的服务器”防护策略，【策略】——【安全防护策略】——“新增”——“业务防护策略”，开启“漏洞攻击防护”功能，动作选择“拒绝”。配置如下：

2、某公司EDR配置步骤：

针对WatchDogsMiner病毒检测，EDR需要开启病毒查杀、防暴力破解。

①更新病毒库：病毒库更新到20190222114009及以上版本，即可对WatchDogsMiner进行查杀。

EDR管理平台能连接互联网情况：通过以下界面检查EDR管理平台是否完成自动更新

EDR管理平台不能联网情况：通过以下地址下载离线病毒库，导入EDR管理平台更新。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，解压密码为sangfor，得到pkg文件，通过以下界面导入EDR管理平台。

②开启防暴力破解和病毒查杀：

新增“防御WatchDogsMiner病毒”终端安全策略，如下图：

将“防御WatchDogsMiner病毒”终端安全策略应用到需防御的Linux服务器端。如下图：

对需保护的Linux终端进行一次全盘查杀，检查是否发现病毒，如下图：

对需保护的Linux终端设置定时全盘查杀，定期检查是否发现病毒，如下图：

3、某公司SIP更新IOC威胁情报库：

在SIP能上网环境中，可自动更新IOC情况库。更新后如下日期：

当SIP不能上网，需要离线更新IOC库，需要先通过以下地址下载最新库文件：https://bbs.sangfor.com.cn/plugi ... 100000035154687/all

下载后点击手动导入，上传IOC情况库：

导入完成后，如下，更新到2019年2月22号的IOC库。

四、某公司下一代防火墙客户，建议升级到AF805版本，并开启SAVE安全智能检测引擎，以达到最好的防御效果。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用某公司安全感知平台+下一代防火墙+EDR，对内网进行感知、查杀和防护。

咨询与服务

您可以通过以下方式联系我们，获取关于

WatchDogsMiner的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通专线）

2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问某公司区 bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

非常感谢，

:惊呆:太牛了

话说已中，但不是这个版本的，

涨姿势厉害了厉害了厉害了厉害了

深度好文！！！！！

太牛了。的认真看看

安全第一

又得查查服务器了

写的很棒啊。