挖矿木马 sustes 追踪溯源分析

l 首先执行$ top命令，检查系统运行状态，此台Linux服务器的CPU利用率为732%

l 再执行$ ps aux |grep [pid]命令，定位到可疑的挖矿木马文件，位于/var/tmp/目录下

l 继续执行$ hadoopversion命令，检查Hadoop版本，当前Linux服务器上安装的Hadoop版本号为2.6.0（此版本支持认证服务，但若未开启，攻击者则可通过Hadoop Yarn资源管理系统REST API未授权漏洞入侵系统）

l 执行$ crontab-u yarn -l命令，检查任务计划，yarn用户每分钟向C2地址发起请求，获取最新脚本文件

l 执行$ head/var/log/cron-20180617命令（实际操作中需要查看对应的日志文件），检查任务计划日志，发现挖矿木马在6月10日替换过C2地址

通过上述操作，我们定位到了此次事件中的门罗币挖矿木马程序和核心控制脚本，并进行了详细分析，分析情况见样本分析一节。

攻击植入过程分析

通过对其中某台服务器检查，初步判定攻击者利用了Hadoop Yarn REST API未授权漏洞入侵了这些服务器，从而植入挖矿木马实现获利：

分析了整个攻击植入流程如下：

样本分析

相关样本

我们将此次事件中挖矿木马的核心文件以列表的形式整理如下，并逐一进行分析：

文件名	MD5	作用
cr.sh	1f6554f2559d83ace7f0af82d32beb72	Shell脚本，用于下载挖矿程序和配置文件
x_64	7f4d9a672bb7ff27f641d29b99ecb08a	64位ELF挖矿程序
x_32	b00f4bbd82d2f5ec7c8152625684f853	32位ELF挖矿程序
w.conf		配置文件，保存钱包地址，矿池地址

样本分析–cr.sh核心脚本

攻击者利用YARN默认开放的8088端口服务，向服务器提交恶意作业，该作业包含远程下载并执行Shell脚本的命令。下载回来的脚本cr.sh完成如下功能：

1、清理主机环境：停止、删除主机已经存在的其他挖矿程序

2、检查主机环境：检查指定的挖矿程序是否已经存在

3、配置主机环境：下载挖矿程序和配置文件并执行

4、持续感染主机：设置任务计划，保持更新，持续感染主机

5、清理任务计划：清除其他挖矿相关的任务计划

清理主机环境代码片段：结束当前主机正在运行的其他已知挖矿程序并删除，已知挖矿程序的文件名如pscf、ntpd、ntp、qq、qq1等：

...

ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9

rm -rf /var/tmp/pscf*

rm -rf /tmp/pscf*

pkill -f ririg

rm -rf /var/tmp/ntpd

pkill -f /var/tmp/ntpd

rm -rf /var/tmp/ntp

pkill -f /var/tmp/ntp

rm -rf /var/tmp/qq

rm -rf /var/tmp/qq1

pkill -f /var/tmp/qq

rm -rf /tmp/qq

rm -rf /tmp/qq1

pkill -f /tmp/qq

pkill -f /var/tmp/aa

rm -rf /var/tmp/aa

C2信息

本次事件中，攻击者使用了Github作为云分发平台，保存挖矿程序和配置文件。该攻击者会不定期的创建删除Github账号，保证可用性及隐私性。

已使用的Github账户名（均已删除）：

l ffazop1

l zzgamond1

Github项目地址（均已删除）：

l https://raw.githubusercontent.com/ffazop1/mygit/master/w.conf

l https://raw.githubusercontent.com/ffazop1/mygit/master/x_64

l https://raw.githubusercontent.com/zzgamond1/mygit/master/w.conf

l https://raw.githubusercontent.com/zzgamond1/mygit/master/x_64

l 端口关联

在多起事件中，出现的C2服务器统一使用8220号端口，因此我们可将其作为身份识别的一个弱特征。

l 文件名关联

在多起事件中，重复使用了相同的文件名，例如1.ps1、2.ps1、logo0.jpg、logo2.jpg、logo3.jpg、logo4.jpg、logo7.jpg等，因此我们也将其作为身份识别的一个弱特征。

l 钱包地址关联

从同一个C2上，我们获取到该团伙不同时期使用的两个脚本，这两个脚本包含了两个不同的门罗币钱包地址，并且这两个钱包地址在这些事件中都有使用。考虑钱包的私有特性，我们可将其作为身份识别的一个强特征。

运行在C2服务器8220端口上的Apache服务

攻击活动时间线

通过对关联信息的整理归纳，我们绘制了过去一年与该团伙相关的攻击活动的时间图：

活动图中的时间顺序仅为我们发现该团伙最早的活动时间，并不表示该团伙只在此时间段利用此漏洞。相应的，此图直观体现了该团伙积累了较多的网络攻击武器。我们有理由相信，还有大量关于该团伙的未被曝光的攻击事件。

钱包信息

钱包1

l 钱包地址：

41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo

l Monerohash上的有效期：? — 2018/5/08

l 总收益：90.1934XMR（仅Monerohash公开矿池）

l 交易记录截图

钱包2

l 钱包地址：

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

l Monerohash上的有效期：2018/5/15 — 今

l 总收益：140.3400XMR（仅Monerohash公开矿池）

l 交易记录截图

收益汇总及评估

仅看Monerohash公开矿池的交易记录，“8220挖矿团伙”累计获取超过230枚门罗币。其中，钱包2提供的算力高达365KH/sec，占Monerohash矿池算力的7%左右。做个简单估算，以INTELCORE I5-2400处理器作为参考，核心全开的情况下算力大约在70H/sec左右，那么相当于大约有5200台服务器在同一时间为该团伙进行挖矿。

通过查询其他相关公开矿池的交易记录，此团伙累计获取超过1000枚门罗币，按照市价974元/枚计算，其价值将近100万元人民币。考虑还有未统计的公开矿池及无法查询的私有矿池，保守估计该团伙累计获益已达数百万。

钱包信息关联

从以上交易截图中可观察出，“8220挖矿团伙”前期使用的钱包1在今年4月时，被安全厂商标注为Botnet，各大公开矿池也将其列入黑名单，禁止接入挖矿。此后，该团伙使用了另一个钱包2，在大型矿池挖矿，并持续至今。

攻击者画像-疑似国内团伙

我们对涉及的样本做了简单的统计如下：

配置文件使用过的名称：

l w.conf、dd1.conf、gg1.conf、test.conf、tes.conf、hh1.conf

l kkk1.conf、ttt1.conf、ooo1.conf、ppp1.conf

挖矿程序使用过的名称：

l nginx、suppoie、java、mysql、cpu.c、ntpd、psping、java-c、pscf、

l cryptonight、sustes、xmr-stak、ririg、ntp、qq、aa、ubyx

l logo4.jpg、logo0.jpg、logo9.jpg

l apaqi、dajiba、look、orgfs、crant、jvs、javs

通过对相关样本的统计分析，结合其具有中文特色命名的特点、交易发生的时间（统计分析主要集中在UTC+8时区）及其他一些信息，怀疑这是一支来源于国内的挖矿团伙。

总结及安全建议

用户使用如下步骤检测及清理疑似中招的服务器：

1、使用top查看进程，KILL掉异常进程

2、检查/var/tmp目录，删除java、pscf3、w.conf等异常文件

3、检查crontab任务列表，删除异常任务

4、检查YARN日志，删除异常的Application ID

5、开启Hadoop Kerberos认证服务

IOC

矿池地址及C2

IP	说明
158.69.133.20:3333	私有矿池地址
192.99.142.249:3333	私有矿池地址
202.144.193.110:3333	私有矿池地址
192.99.142.232:8220	C2
192.99.142.235:8220	C2
192.99.142.226:8220	C2
192.99.142.246:8220	C2
192.99.142.248:8220	C2
158.69.133.18:8220	C2
198.181.41.97:8220	C2
46.249.38.186	C2

建议封禁以下地址

部分相关URL