1??????? 活躍yayaya挖礦木馬概覽

近期，安天CERT捕獲了一批活躍的挖礦木馬樣本，該挖礦木馬主要利用SSH弱口令暴力破解對(duì)Linux平臺(tái)進(jìn)行攻擊。由于其初始攻擊腳本中多次出現(xiàn)“yayaya”字符串，且在Linux內(nèi)核模塊中會(huì)隱藏包含該字符串的所有信息，因此安天CERT將該挖礦木馬命名為“yayaya Miner”。

?

表 1?1 活躍挖礦概覽

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱(chēng)IEP）Linux版本可實(shí)現(xiàn)對(duì)該挖礦木馬的有效查殺。

2??????? 樣本功能與技術(shù)梳理

yayaya Miner挖礦木馬使用shc工具加密初始攻擊腳本，利用該工具可以把Shell腳本轉(zhuǎn)換成二進(jìn)制可執(zhí)行文件（ELF），使用RC4加密算法對(duì)其進(jìn)行加密，初始攻擊腳本文件會(huì)刪除系統(tǒng)日志、創(chuàng)建yayaya等目錄、刪除特定IP的網(wǎng)絡(luò)連接、下載門(mén)羅幣挖礦程序以及使用開(kāi)源工具Diamorphine進(jìn)行隱藏操作等。將其挖礦進(jìn)程注入內(nèi)存后進(jìn)行隱藏，增加反病毒軟件的檢測(cè)難度。

2.1??????? yayayaxxxxxxxx（初始攻擊腳本，X表示隨機(jī)字符）

樣本初始攻擊腳本整體流程以及核心技術(shù)如下：

1.??????? 初始文件實(shí)際為腳本文件，經(jīng)過(guò)shc工具加密初始攻擊腳本，可以把Shell腳本文件轉(zhuǎn)換成二進(jìn)制可執(zhí)行文件（ELF）。該腳本首先會(huì)刪除其他挖礦木馬配置文件以及系統(tǒng)日志。

2.??????? 使用防火墻命令查找并刪除其他挖礦木馬挖礦所創(chuàng)建的網(wǎng)絡(luò)連接，刪除后下載自身 p.zip (挖礦程

序)。。

3.??????? 使用開(kāi)源工具Diamorphine對(duì)Linux內(nèi)核模塊和進(jìn)程進(jìn)行隱藏，具體為隱藏指定目錄前綴“yayaya”，只要帶有“yayaya”前綴的目錄在系統(tǒng)中均不可見(jiàn)。將挖礦進(jìn)程標(biāo)記為隱藏，即在進(jìn)程列表中不顯示。指定內(nèi)核模塊名稱(chēng)為“nonono”。

4.??????? 將當(dāng)前進(jìn)程的用戶(hù)和組ID都設(shè)置為0，以此實(shí)現(xiàn)獲取root權(quán)限的功能。

5.??????? 編譯內(nèi)核模塊nonono.ko并加載，使用kill命令向進(jìn)程號(hào)為10000000的進(jìn)程發(fā)送信號(hào)-63，觸發(fā)模塊的鉤子函數(shù)。使用kill命令向指定進(jìn)程發(fā)送信號(hào)-31，使其暫停執(zhí)行。執(zhí)行成功后刪除/tmp/a目錄中的所有文件及其子目錄。

2.2??????? p.zip(挖礦程序)

p.zip壓縮文件中包含一個(gè)名為“dsm_sa_ip”的文件，經(jīng)判定，該文件為開(kāi)源門(mén)羅幣挖礦程序XMRig，采用加密通信的方式進(jìn)行交互挖礦，礦池地址如下。

表 2?1 礦池地址

?

3??????? 挖礦木馬落地排查與清除方案

3.1??????? yayaya Miner落地識(shí)別

1.??????? ? ?文件（x表示隨機(jī)字符）

文件名及路徑：

/usr/lib/x86_64-linux-gnu/yayayaxxxxxxxx

/etc/sysconfig/yayaya/dsm_sa_ip

2.??????? ? ?網(wǎng)絡(luò)側(cè)排查

146.190.193.147:80（文件下載）

157.245.16.79:443（礦池連接）

3.??????? ? ?服務(wù)執(zhí)行路徑

ExecStart=/usr/lib/x86_64-linux-gnu/yayayaxxxxxxxx

4.??????? ? ?進(jìn)程名稱(chēng)

八位隨機(jī)字符串

5.??????? ? ?內(nèi)核模塊名稱(chēng)

nonono

?

3.2??????? 清除方案

1.??????? ? ?將隱藏內(nèi)核模塊可見(jiàn)

kill -63 0

2.??????? ? ?查看隱藏的內(nèi)核模塊nonono

cat /proc/modules |head -n 10

3.??????? ? ?刪除內(nèi)核模塊

rmmod nonono

4.??????? ? ?結(jié)束挖礦進(jìn)程

使用top命令查看最大占用系統(tǒng)資源的進(jìn)程pid，使用命令kill ? ?-9 pid結(jié)束對(duì)于進(jìn)程，該挖礦程序進(jìn)程路徑一般以類(lèi)似的字符串形式存在“/112d9a3b”。

5.??????? ? ?刪除服務(wù)

rm -rf /usr/lib/systemd/system/yayayaxxxxxxxx.service

6.??????? ? ?刪除惡意文件

rm -rf /usr/lib/x86_64-linux-gnu/yayayaxxxxxxxx

rm -rf /etc/sysconfig/yayaya

?

4??????? 防護(hù)建議

針對(duì)挖礦攻擊安天建議企業(yè)采取如下防護(hù)措施：

1.??????? 安裝終端防護(hù)：安裝反病毒軟件，針對(duì)不同平臺(tái)建議安裝安天智甲終端防御系統(tǒng)Windows/Linux版本；

2.??????? 加強(qiáng)SSH口令強(qiáng)度：避免使用弱口令，建議使用16位或更長(zhǎng)的口令，包括大小寫(xiě)字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

3.??????? 及時(shí)更新補(bǔ)?。航ㄗh開(kāi)啟自動(dòng)更新功能安裝系統(tǒng)補(bǔ)丁，服務(wù)器應(yīng)及時(shí)更新系統(tǒng)補(bǔ)??；

4.??????? 及時(shí)更新第三方應(yīng)用補(bǔ)?。航ㄗh及時(shí)更新第三方應(yīng)用如WebLogic等應(yīng)用程序補(bǔ)丁；

5.??????? 開(kāi)啟日志：開(kāi)啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、錯(cuò)誤日志、訪問(wèn)日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎(chǔ)；

6.??????? 主機(jī)加固：對(duì)系統(tǒng)進(jìn)行滲透測(cè)試及安全加固；

7.??????? 部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類(lèi)軟件或設(shè)備，便于對(duì)惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測(cè)系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，能精準(zhǔn)檢測(cè)出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類(lèi)未知威脅；

8.??????? 安天服務(wù)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱(chēng)IEP）可實(shí)現(xiàn)對(duì)該挖礦木馬的有效查殺。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

5??????? 事件對(duì)應(yīng)的ATT&CK映射圖譜

針對(duì)攻擊者投放挖礦木馬的完整過(guò)程，安天梳理本次攻擊事件對(duì)應(yīng)的ATT&CK映射圖譜如下圖所示。

攻擊者使用的技術(shù)點(diǎn)如下表所示：

表 5?1 事件對(duì)應(yīng)的ATT&CK技術(shù)行為描述表

?

6??????? IoCs

?

參考資料

[1]???? 典型挖礦家族系列分析二 | TeamTNT挖礦組織

https://www.antiy.cn/research/notice&report/research_report/20221207.html

[2]???? Shc Linux Malware Installing CoinMiner

https://asec.ahnlab.com/en/45182/