注意Libgcc_a挖矿病毒传播!内附自查方法

这篇具有很好参考价值的文章主要介绍了注意Libgcc_a挖矿病毒传播!内附自查方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一背景

近期,我们监测发现一种新型劫持变种病毒,经分析其主体程序为XMrig挖矿病毒家族的变种,该病毒具有较强的顽固性和隐蔽性,难以被查杀,进程杀死后自启动。此外该类病毒还会更改主机配置,重定向端口至远程服务器,通过github下载开源的暴力破解工具对内网主机进行爆破并横向移动。

二病毒分析及介绍

此次监测到的病毒样本主要包括libgcc_a、xfit.sh、xfitaarch.sh、adxintrin_b和开源的横向移动恶意软件spirit。

1:libgcc_a分析

libgcc_a为挖矿病毒,其实质是开源挖矿病毒家族XMrig的二次开发变种。其在开源基础上增加了hwloc模块,hwloc模块主要是解决不同架构中查询硬件资源的问题。

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

XMRig是一个可以使用CPU/GPU配合RandomX、KawPow、CryptoNight和AstroBWT等算法进行虚拟货币挖矿的开源、跨平台程序。其二进制文件可以分别用于在Windows、Linux、macOS和FreeBSD平台上进行挖矿。由于其金钱属性,导致非常多的恶意软件团伙将其用于攻陷他人服务器后进行挖矿牟利。

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

xfit.sh和libgcc_a根据哈希可知是同一份文件,经分析xfitaarch.sh为xfit.sh的arm版本。

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

2:spirit组件分析

Spirit可实现linux下的ssh暴力破解,攻击者在对受害主机入侵成功后,通过脚本文件下载Spirit开源软件,向内网中的其他Linux主机进行ssh破解。

下载的组件中包括暴力破解组件sshpass。

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

在同目录下含有暴力破解字典文件:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

3:adxintrin_b脚本文件分析

adxintrin_b为sh脚本文件,攻击者执行该脚本以进行获取远程文件,运行挖矿病毒、劫持库文件、添加自启动,删除日志历史记录以及下载横向移动组件等操作。

获取远程文件

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

通过修改/etc/ld.so.preload文件,对程序启动加载进程进行劫持,针对不同的架构配有不同的so文件,通过这些so文件加载以加载恶意的可执行文件libgcc_a,spirit。

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

自我程序更新:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

检查防火墙安装情况:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

从主程序中释放文件:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

安装nc,xinetd等控制相关的工具

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

将smtp\http等服务配置到xinetd.d文件,以实现端口的转发,重定向至远程恶意C2服务器。

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

配置定时任务实现持久化:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

创建服务,默认名称crtend_b:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

清空以下路径的日志记录:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

例如清空近期登录日志:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

修改sshd配置,降低安全性:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器


 

此外,该病毒程序还扫描内网ip,判断是否有存活主机:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器

三排查主机是否感染该病毒

1、查看主机资源利用情况,是否存在libgcc_a、spirit等进程并持续占用高CPU资源

2、查看/etc/xinetd.d/配置文件,是否存在重定向至恶意服务器的配置

3、查看是否存在可疑文件夹root/gcclib,并且含有可疑文件,例如libgcc_a、xfit.sh、xfitaarch.sh等

4、是否存在恶意路径/usr/spirit/

5、排查定时任务相关配置文件,例如/etc/cron.hourly、/etc/crontab等是否存在/etc/cron.daily/xbash等可疑项

6、是否存在usr/local/lib/sshpkit.so、/usr/local/lib/pkitarm.so此类路径

7、排查etc/ld.so.preload配置文件,是否存在指向usr/local/lib/sshpkit.so、/usr/local/lib/pkitarm.so等内容

8、排查目录/etc/lib是否存在adxintrin_b文件

9、查看是否有可疑服务,例如crtend_b

安恒自查工具使用说明

目前安恒信息已有专项检测工具(check),可用于检测主机是否已被该病毒感染。

★使用方法如下:

在终端中运行 check程序,若该主机已被感染,则输出如下图:

注意Libgcc_a挖矿病毒传播!内附自查方法,linux,运维,服务器


防范建议

目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:

●安恒产品已集成能力:

针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

(1)AiLPHA分析平台V5.0.0及以上版本

(2)AiNTA设备V1.2.2及以上版本

(3)AXDR平台V2.0.3及以上版本

(4)APT设备V2.0.67及以上版本

(5)EDR产品V2.0.17及以上版本

安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。

猎影实验室,高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。文章来源地址https://www.toymoban.com/news/detail-736935.html

到了这里,关于注意Libgcc_a挖矿病毒传播!内附自查方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 阿里云挖矿病毒解决

    有一次,我们在阿里上的服务器收到这样的短信。 【阿里云】尊敬的xxxxxx:  经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站

    2024年02月08日
    浏览(41)
  • 电脑是否中挖矿病毒

    『壹』 怎么检查自己电脑有没有被人用来挖矿,比特币 挖矿都是烧的显卡,以下方法可以鉴定自己显卡是不是矿卡 1:通过肉眼来识别这个硬件究竟是不是矿卡 ,其实通过其他方式也可以测出,就比如说你到电脑里面去测矿卡的超频性能,去跟官方的数据进行对比,测矿卡

    2023年04月09日
    浏览(40)
  • 记一次挖矿病毒的溯源

    ps:因为项目保密的原因部分的截图是自己在本地的环境复现。 1. 起因 客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用

    2024年02月04日
    浏览(49)
  • Wannamine家族挖矿病毒处置

    wannamine挖矿病毒主要通过入侵计算机来挖取门罗币,对于它的处置建议则是: 1.首先断开受感染机器的网络连接,实行网络隔离。 2.禁用随开机启动的恶意服务,一般服务名是由三个字符串列表随机组成: Windows、Microsoft、Network、Remote、Function、Secure、Application、Update、Time、

    2024年02月13日
    浏览(46)
  • 记·Linux挖矿病毒应急响应

    朋友说他的机器被用来挖矿了,叫我帮他处理一下,正好锻炼锻炼应急响应能力。 top查看cup发现占用300%,确实是被用来挖矿了。 查看异常进程9926的pid端口,发现为空查找不到连接情况,怎么回事? 查看全部端口网络连接,发现pid被清除了,但是本地有异常端口连接情况,

    2024年02月13日
    浏览(52)
  • 服务器挖矿病毒怎么解决

    挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。

    2024年02月16日
    浏览(50)
  • Linux中挖矿病毒清理通用思路

    目录 前言 清理流程 检查修复DNS 停止计划任务 取消tmp目录的可执行权限 服务排查 进程排查 高CPU占用进程查杀 计划任务清理 预加载劫持清理 系统命令变动排查 中毒前后可执行文件排查 系统配置文件排查 小结 在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限

    2024年02月10日
    浏览(38)
  • 记一次服务器被挖矿的排查过程:xmrig挖矿病毒

    【阿里云】尊敬的aliyun98****8825: 经检测您的阿里云服务(ECS实例)i-0jl8awxohyxk****axz5存在挖矿活动。根据相关法规、政策的规定,请您于2023-07-18 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。 若您有其他问题,可登陆阿里云官网在

    2024年02月11日
    浏览(50)
  • linux中了挖矿病毒详细解决方案

    阿里云服务器无意间CPU直线飙升接近100%,通过TOP查看CPU暂用情况,未发现异常,然后感觉肯定是中了挖矿病毒了。一下是搜索了很多资料总结的解决方案,希望对遇到这些问题的人员有个好的帮助。 目录 1、通过TOP查看未发现异常情况,肯定是病毒隐藏了进程 2、删除之后通

    2024年02月05日
    浏览(80)
  • 记一次“XMR门罗币挖矿木马病毒”处置

    故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。 市面上存在很多关于XMR门罗币挖矿的教程,这些教程可能会被攻击者恶

    2024年04月22日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包