type
Post
status
Published
date
Dec 28, 2021
slug
systemdminer
summary
记录一次挖矿应急
tags
挖矿
逆向
category
网络安全
icon
password
0x00 背景
简单分析后发现是 2020 年出现的Systemd Miner挖矿木马的变种。分析及清理脚本如下
0x01 脚本分析
使用 doh 解析域名, tor 代理下载恶意文件。。。。好高级
流程 解析域名获取tor代理ip ---> 查找目标主机可读写路径 ---> 通过tor代理在服务器上下载恶意文件、使用 tor2web 访问 ---> 在目标主机上开启crontab计划任务 ---> 执行恶意文件并删除---> 判断恶意进程是否启动,未启动则再次拉起
代理下载
直连下载
0x02 恶意文件分析
用 ida 分析一波
不好静态调试,采用动态调试
/tmp/.X11-unix/01 — 守护进程 pid
执行以下脚本
1.清理常见安全产品的计划任务
2.屏蔽、干掉其他挖矿程序
下载 cmd 模块
下载 cpu 模块
请求 bot 模块
对/tmp/.X11-unix进行修改权限锁定
0x03 模块分析
3.1 cpu
挖矿模块
输出主进程 pid 到 /tmp/.X11-unix/11
通过jsonrpc方式登录到矿池
使用xmrig挖矿程序在136.243.90.99矿池挖门罗币
3.2 BOT
用于提交服务器各种信息(whoami、uname -m、uname -n、ip a)
3.3 CMD
随机下载 5 个程序中的一个,执行完后删除
1 redis 内网横向模块
2 postgresql 内网横向模块
3 hadoop yarn漏洞 8088端口 内网横向模块
4 Consul RCE 8500端口 内网横向模块
5 SSH 横向脚本
下载 sshd 文件后发现里面有三个文件
0x04 清理脚本
0x05 后记
Feb 24, 2022 又碰到这个挖矿了,以前让我脱不掉的 upx 魔改壳现在已经乱脱了😂