报告编号:B6-2022-081502
报告来源:360CERT
报告作者:360CERT
更新日期:2022-08-15
近日,360安全大脑监测到一个挖矿僵尸网络正在持续活跃中。经过溯源分析,该病毒最早可以追溯到思科公司于2020年底的相关报告,称名为“Xanthe”的僵尸网络正在利用错误配置的Docker API进行挖矿活动。将近两年时间过去后,Xanthe木马除了继续从事挖矿的“老本行”外,新版本中还添加了投递名为“brickerbotv2”的Mirai僵尸网络bot程序的功能,攻击者可以借此实现对外发起DDoS攻击的目的。
Xanthe挖矿僵尸网络的恶意功能分别集成在各个恶意脚本中,主要分为以下3个模块:
hxxp://209.141.34.37/fczyo
hxxp://209.141.34.37/alduro
hxxp://209.141.34.37/sesa.txt
fczyo 模块的头部包含如下信息:
脚本中主要执行以下函数:
qbot函数将hxxp://45.61.184.81/x86文件下载到本地并执行:
x86文件是一个ELF可执行程序,基于开源Mirai代码修改编译而成,跟以往的Mirai僵尸网络样本相比相差不大。x86样本内自定义的key修改为0xDEDEFFBA:
通过从低到高逐字节异或的方式对样本内的硬编码字符串进行了加密:
硬编码字符串在table_init函数中进行解密后,可以看到样本自称为“brickerbotv2”。x86文件保留了Mirai僵尸网络的反调试、单例运行、阻止watchdog重启设备等功能,且在运行后会自删除,通过连接45.61.184.81:81来接收攻击者下发的DDoS指令。支持的攻击方式包括
回到fczyo模块。persistgo函数负责往cron和/etc//rc.local写入恶意代码,实现下载执行木马各模块的定时启动以及开机自启:
filerungo函数在配置好环境后尝试启动/tmp/bbp/bbp、/var/tmp/bbp/bbp、/opt/bbp/bbp挖矿进程。bbp程序由后面的alduro模块负责从C&C 下载到本地。
securitygo函数中删除sandfly-filescan安全工具,关闭ufw防火墙,并清除所有iptables规则,为木马运行扫清障碍。
alduro 模块中共定义了9个函数,执行流程如下:
各函数的功能大致概述如下:
| 函数名 | 功能 |
|---|---|
| filesetupgo | 检查是否存在bbp挖矿进程,若为否便执行filegetgo函数 |
| persistgo | 同fczyo模块的persistgo函数 |
| filerungo | 下载hxxp://209.141.34.37/adnckil挖矿程序,同时通过访问hxxps://iplogger.org/1hZji7来记录被感染设备的公网IP |
| securitygo | 同fczyo模块的securitygo函数 |
| sshaddusergo | 创建用户名“system”、密码“3PvxD3qO8Hx1c”,授予其root权限,同时设置PermitRootLogin允许root用户登录SSH |
| sshkeysgo | 往authorized_keys文件内写入攻击者的SSH公钥,实现免密登录 |
| filegetgo | 下载hxxp://209.141.34.37/adnckil挖矿程序到本地的/tmp/bbp/bbp、/var/tmp/bbp/bbp、/opt/bbp/bbp路径,同时校验其md5是否为3932979ca166dc69cca192490318f700,校验成功则执行挖矿操作 |
| resetsshgo | 已注释,未实现 |
| localgo | 搜寻bash_history、known_hosts等文件内的SSH登录凭证,实现SSH横向移动,借助SSH下载hxxp://209.141.34.37/check文件并执 行 |
| finishedgo | 清除命令历史、日志文件,退出 |
部分功能代码片段如下。SSH横向移动:
下载bbp挖矿程序并校验:
localgo函数中下载了hxxp://209.141.34.37/check文件,该文件的作用为判断是否为root用户、是否有bbp进程正在运行,进而从C&C下载alduro、adnckil文件执行。
adnckil文件同样是一个ELF可执行文件,采用了UPX加壳,脱壳后可以看到它是编译于2022.7.13日的开源XMRig矿机6.18.0版本。
矿机中包含了攻击者的矿池信息:
截至目前,该钱包地址共有100余名矿工正在同时作业。
sesa.txt模块的主要功能包括:
1.修改/etc//hosts文件阻断竞争对手、安全软件的网络连接
2.删除本机安装的安全软件
3.清理竞争对手:阻断IP连接与端口、结束其进程,实现独占设备资源的目的
4.清理无关的竞争对手的docker镜像,释放资源
5.禁用AppArmor
6.清理竞争对手crontab,写入攻击者自己的恶意计划任务
IP
– 209.141.34.37
– 45.61.184.81
URL
– hxxp://209.141.34.37/fczyo
– hxxp://209.141.34.37/alduro
– hxxp://209.141.34.37/sesa.txt
– hxxp://209.141.34.37/check
– hxxp://209.141.34.37/adnckil
– hxxp://45.61.184.81/x86
– hxxps://iplogger.org/1hZji7
– hxxps://iplogger.org/1Rzyr7
– hxxps://iplogger.com/109S93
MD5
| 文件名 | md5 |
|---|---|
| fczyo | 9fdee93c89179d75df84b31c56352b9d |
| alduro | bf0f15096e2082136717eae513a29daf |
| sesa.txt | 4bac30da5053d6d5279262235b41de0f |
| check | 6a78186f7a95517995f2c0d20b715443 |
| adnckil | 3932979ca166dc69cca192490318f700 |
| x86 | 5e9da535c829722a6c8abcd3c52890a9 |
矿池
pool.hashvault.pro:80
钱包地址
87xLz6mbtukECRgsdrvh9m4iVS7E5MCDtEbrXMBVQ4qtdUMWjqSRABfdrDimKtTUSPR6uhw9DEXJXZKZrdbzoexH2vavdcb
SSH公钥
AAAAB3NzaC1yc2EAAAADAQABAAABAQDJHcNVNDmblG/GHzMCixbagQRIUbjOvaKxTKoEE/Cs2gwLQsiD2raUNQBRttIeWfdDL4L+VqhEj47mFCCRzjSN+k6nx1wZ50r3F9FhpzzTYwbWOi5JJistZBec4K2ZbHKocCTiI7hzrpi0jfgBF1P0BSeyvjFE3NqqIky4E2IVQpnHl6tu48jNYOJXWUBL7bt6pfm3ZIBa7gi3q700Mm/FIY5l1xWDzBAdG0u44eXKO8p0i+OROPNhODQgmfpU4a2tM/6+FMukfDPV3S2OnbnlmYItnzvUbfyPDxpbE/tw1ivkun0tCPeDgqfqcR0OM64K0NZaFFeQNPQvNEUviF4z root@localhost
https://blog.talosintelligence.com/2020/12/xanthe-docker-aware-miner.html
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯
原文始发于微信公众号(三六零CERT):Xanthe挖矿僵尸网络卷土重来
