内容简介:一、现象描述近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。
一、现象描述
近日,深信服EDR产品率先检测到一款新型 Linux 挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。
感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。
另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。
该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398,这里提醒有安装该软件的用户需要注意进行防御。
二、详细分析
2.1 母体脚本
一些初始化变量如下,其中entropy为C&C服务器字符串的翻转,C&C服务器地址为51[.]15[.]56[.]161[:]443;变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名,均由7位随机的字符串组成,后面描述这些文件时都直接使用其对应的变量名;_b,_j等变量用于拼凑 shell 命令。
根据是否存在vmlinuz进程及其CPU占用是否超过30%,判断系统是否已经感染,如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本:
下载挖矿程序omelette及母体脚本seasame到/tmp目录下,并执行挖矿程序。
创建crontab定时任务:
创建的定时任务如下,每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行:
删除iptables命令,将wget重命名为wgetak,curl命令重命名为curlak。
创建cloud_agent.service服务:
cloud_agent.service服务如下,同样用于下载并执行母体脚本seasame:
将bash命令复制到当前目录,然后分别执行3个脚本。new_dog:守护挖矿进程;new_killbot:清除除vmlinuz以外,CPU占用大于30%的进程;prot:杀掉包含“https://”、“http://”、“eval”的进程。
2.2 挖矿程序
1.打开相应的文件,如果文件不存在,则生成相应的文件,如下所示:
2.生成/temp/ec2a6文件,如下所示:
生成的文件,如下所示:
3.生成/var/tmp/f41,如下所示:
4.生成de33f4f911f20761,如下所示:
生成的文件,如下所示:
5.获取主机CPU信息,如下所示:
6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161,如下所示:
7.然后拼接不同的端口号,组成相应的矿池地址,如下所示:
组合成的矿池地址列表,如下所示:
·51.38.133.232:443
· 51.15.56.161:80
· 51.38.133.232:21
· 51.15.56.161:20
· 51.38.133.232:53
· 51.15.56.161:53
· 51.38.133.232:162
· 51.15.56.161:161
· 51.38.133.232:990
· 51.15.56.161:989
· 51.38.133.232:1111
· 51.15.56.161:1111
· 51.38.133.232:2222
· 51.15.56.161:2222
· 51.38.133.232:3333
· 51.15.56.161:3333
· 51.38.133.232:4444
· 51.15.56.161:4444
· 51.38.133.232:8181
· 51.15.56.161:8080
· 51.38.133.232:25200
· 51.15.56.161:25400
8.创建子进程,进行挖矿操作,如下所示:
创建挖矿进程过程,如下所示:
相应的进程信息,如下所示:
top进程信息,如下所示:
9.挖矿进程相关参数,如下所示:
捕获到的相应的流量数据包,如下所示:
挖矿相关流量数据包,如下所示:
矿池IP地址为矿池地址列表中的:51.38.133.232:443
10.连接远程矿池地址,如下所示:
请求连接51.15.56.161,如下所示:
获取到的流量数据,如下所示:
如果连接失败,则请求连接51.38.133.232,如下所示:
返回相应的数据,如下所示:
拼接相应的内容,如下所示:
然后将获取的内容,写入到/temp/yayscript.sh脚本中,并通过bash执行sh脚本,如下所示:
yayscript.sh的内容,如下所示:
三、解决方案
病毒检测查杀
1、深信服为广大用户免费提供针对seasame病毒的专杀工具,进行检测查杀。
2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
四、IOC
URL:
· hxxp://51.15.56.161:443/86su[.]jpg
· hxxp://51.15.56.161:443/86du[.]jpg
· hxxp://51.15.56.161:443/86s[.]jpg
· hxxp://51.15.56.161:443/86d[.]jpg
· hxxp://51.15.56.161:443/46su[.]jpg
· hxxp://51.15.56.161:443/46du[.]jpg
· hxxp://51.15.56.161:443/46s[.]jpg
· hxxp://51.15.56.161:443/46d[.]jpg
· hxxp://51.15.56.161:443/83su[.]jpg
· hxxp://51.15.56.161:443/83du[.]jpg
· hxxp://51.15.56.161:443/83s[.]jpg
· hxxp://51.15.56.161:443/83d[.]jpg
· hxxp://51.15.56.161:443/43su[.]jpg
· hxxp://51.15.56.161:443/43du[.]jpg
· hxxp://51.15.56.161:443/43s[.]jpg
· hxxp://51.15.56.161:443/43d[.]jpg
· hxxp://51.15.56.161:443/a6u[.]jpg
· hxxp://51.15.56.161:443/a6[.]jpg
MD5:
· CD4BF850A354A80EB860586D253A4385
· D71EB083E7943F0641982797C09F3E73
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 通过关键字获取漏洞平台最新漏洞信息
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- Coremail主动公开最新漏洞
- 复现WebLogic最新漏洞(WLS组件)
- seacms v6.64 最新漏洞分析
- 2018最新PHP漏洞利用技巧
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Python基础教程
[挪] Magnus Lie Hetland / 袁国忠 / 人民邮电出版 / 2018-2-1 / CNY 99.00
本书包括Python程序设计的方方面面:首先从Python的安装开始,随后介绍了Python的基础知识和基本概念,包括列表、元组、字符串、字典以及各种语句;然后循序渐进地介绍了一些相对高级的主题,包括抽象、异常、魔法方法、属性、迭代器;此后探讨了如何将Python与数据库、网络、C语言等工具结合使用,从而发挥出Python的强大功能,同时介绍了Python程序测试、打包、发布等知识;最后,作者结合......一起来看看 《Python基础教程》 这本书的介绍吧!