一、背景 

二、主要恶意功能 

1）攻击者通过漏洞利用、SSH暴破等方式成功入侵受害者主机后，植入并启动AppMiner新变种主模块（5个随机字符）；

2）主模块请求攻击者制作的Google sites挂马页面，通过正则匹配得到真实的木马下载链接，再经二次正则匹配及base64解码后完成主程序AppMiner1（主模块近似克隆版）、子程序AppMiner2、xmrig矿工的下发及挖矿牟利；

3）主模块删除中招主机/etc目录下的密码存储、身份认证相关文件，阻止中招用户切换到root权限实现防卸载；直接重启主机会导致无法进入系统界面；

4）主程序AppMiner1运行后会重复上述主模块的步骤；

5）子程序AppMiner2作为主程序的守护程序，会再次请求Google sites挂马页面以确保主程序存活且为最新版。    

2.1 隐藏敏感信息  

AppMiner新变种（6392a38d40c8ec0e80b9449ae6358c4b）运行时无任何终端日志输出，执行后便删除自身；而早期版本则会输出如下的运行日志：

此外，新变种还对样本中的敏感字符串信息做了加密处理，如下是恢复函数符号前后的对比图：    

2.2 利用Google sites传播木马  

1）新变种访问C2链接：http://www.hellkaluyou.top后返回一个html，通过正则匹配取出其中的url（红框部分）。

2) 访问上述提取出的url，得到下一阶段html

3）通过正则匹配得到相应base64编码的elf木马，经base64解码后得到对应的elf样本（均为upx样本）。    

2.3 防卸载，重启无法进入系统界面  

2.4 持久化  

1）向/etc/profile文件中写入执行木马主模块（/etc/wtoss）的shell指令，以实现开机启动。

2）向crontab中写入执行主模块的定时任务（主模块运行后删除自身，并从C2下载恶意模块到 /etc目录），以实现持久化。

2.5 门罗币挖矿    

C2: 

www[.]hellkaluyou.top

MD5:

6392a38d40c8ec0e80b9449ae6358c4b

7d7075e6b9a5a5ad36b4627567feadc7

8d2f33f064453ed41999c058ac702452

858494af949b7dad69729ff243c54cb9

813bb1a38d50bcd5bef8d91a3b578017

矿池：

auto[.]c3pool.org:443

auto[.]c3pool.org:80

47[.]243.167.150:443

auto[.]c3pool.org:19999

钱包地址：

84Q498z9XexF8nnbUmvjiFS94k2DYRadA754zB7Xka551dCcnAQQgW9RUE8NfCbiGEMsJHMXWFJ5zWGeUYRYsVtZBB8VYWb

SupermanMiner挖矿木马新变种持续活跃

（https://cert.360.cn/warning/detail?id=65deee7fc09f255b91b17e0f）

原文始发于微信公众号（360威胁情报中心）：鱼死网破，AppMiner新变种来袭！