1.概述

近期，安天CERT通過捕風蜜罐系統(tǒng)[1]捕獲了一批活躍的hoze挖礦木馬樣本，該挖礦木馬主要利用SSH弱口令暴力破解對Linux平臺進行攻擊。由于其初始攻擊腳本名稱與加密攻擊腳本集合包的解密密鑰均為“hoze”，具備一定的行為特征，因此安天CERT將該挖礦木馬命名為hoze挖礦木馬。

?

hoze挖礦木馬在傳播方式和初始執(zhí)行腳本等攻擊方式上與其他流行挖礦木馬家族并無區(qū)別，但在攻擊樣本方面使用 shc 工具加密 Shell 腳本，利用該工具可以使 Shell 腳本轉(zhuǎn)換成二進制可執(zhí)行文件(ELF)，使用RC4 加密算法對其進行加密，目的是為了增加反病毒軟件的檢測難度。另一方面根據(jù)公開礦池地址發(fā)現(xiàn)該挖礦木馬算力已經(jīng)達到平均1.5MH/s，在排除顯卡的加持下，以一臺Intel Core i7-4500U處理器為例，該處理器在進行全速挖礦時最高算力可達100h/s，相當于有15000臺該處理器在同時進行挖礦。截止目前，該挖礦木馬已經(jīng)獲利35個門羅幣，平均每4天即可獲利1個門羅幣。經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）Linux 版本可實現(xiàn)對該挖礦木馬的有效查殺。

?

2.事件對應的ATT&CK映射圖譜

?

針對攻擊者投放挖礦木馬的完整過程，安天梳理本次攻擊事件對應的ATT&CK映射圖譜如下圖所示。

攻擊者使用的技術點如下表所示：

?

表2?1 事件對應的ATT&CK技術行為描述表

3.攻擊流程

3.1?攻擊流程

hoze挖礦木馬利用SSH弱口令暴力破解獲取受害者主機權限，植入名為“hoze”的初始攻擊腳本，主要功能是安裝下載工具、執(zhí)行后續(xù)腳本和替換SSH密鑰等功能。在下載的名為“xrx.tar”的壓縮包中，包含很多后續(xù)腳本和挖礦程序，如init0和init.sh等，這些腳本文件的功能主要是卸載安全軟件、檢測挖礦程序是否順利執(zhí)行、受害主機的口令修改和執(zhí)行挖礦程序等。

3.2?傳播途徑

hoze挖礦木馬利用SSH弱口令暴力破解獲取受害者主機權限，植入名為“hoze”的惡意腳本，具體傳播途徑如下。

3.3?攻擊事件樣本整理

根據(jù)攻擊事件對樣本進行梳理得到如下信息：

?

表3?1 攻擊事件樣本整理

表3?2 挖礦腳本中的礦池地址和錢包地址

根據(jù)礦池地址記錄，目前，該錢包在開源挖礦礦池上的平均算力約1.5MH/s，累計已經(jīng)獲得35個門羅幣。

4.防護建議

針對挖礦攻擊安天建議企業(yè)采取如下防護措施：

?

1.安裝終端防護：安裝反病毒軟件，針對不同平臺建議安裝安天智甲終端防御系統(tǒng)Windows/Linux版本；

2.加強SSH口令強度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務器使用相同口令；

?

3.及時更新補?。航ㄗh開啟自動更新功能安裝系統(tǒng)補丁，服務器應及時更新系統(tǒng)補??；

?

4.及時更新第三方應用補?。航ㄗh及時更新第三方應用如WebLogic等應用程序補丁；

?

5.開啟日志：開啟關鍵日志收集功能（安全日志、系統(tǒng)日志、錯誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎；

?

6.主機加固：對系統(tǒng)進行滲透測試及安全加固；

?

7.部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡可疑行為、資產(chǎn)和各類未知威脅；

?

8.安天服務：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

?

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該挖礦木馬的有效查殺。

5.樣本分析

5.1 hoze（初始攻擊腳本）

初始攻擊腳本使用混淆技術對抗檢測，腳本內(nèi)容如圖5-1所示。

?

解混淆后，hoze初始攻擊腳本首先下載名為“xrx.tar”的壓縮文件，解壓縮，將xrx文件夾移動到隱藏文件夾.xrx中，刪除原壓縮文件，對.xrx文件夾所有文件賦予執(zhí)行權限，執(zhí)行init0文件。另一種方式通過下載名為“xrx.gpg”的文件，使用gpg命令對其文件進行解密，解密密鑰為“hoze”，解密后操作與上一種方式相同。

初始攻擊腳本還會修改文件屬性，如計劃任務文件等，修改后僅允許補充（追加）內(nèi)容，無法對文件進行修改。刪除其他挖礦木馬常會在系統(tǒng)中預留或修改的文件，如/etc/ld.so.preload等。

5.2?xrx.tar（攻擊腳本集合包）

xrx.tar壓縮包中包含多種攻擊腳本，壓縮包中具體文件功能描述如下表所示。

?

表5?1 xrx.tar中文件功能描述

5.3?init0（下載后續(xù)腳本）

該文件實際為腳本文件，經(jīng)過shc工具進行加密，可以把Shell腳本文件轉(zhuǎn)換為一個可執(zhí)行的二進制文件。后續(xù)腳本init.sh、passwd和secure也是采用此方法對其進行加密，其本質(zhì)都是腳本文件。

init0腳本解密后，首先判斷系統(tǒng)是否安裝curl等下載工具，如果沒有安裝，輸入指令將進行安裝，確保后續(xù)惡意文件的順利下載。執(zhí)行uninstall.sh腳本，該腳本的功能是卸載安全軟件。

執(zhí)行init.sh腳本，通過輸出字段能夠看出該腳本功能是執(zhí)行挖礦等操作，刪除SSH密鑰，創(chuàng)建新的目錄用作后續(xù)存放SSH密鑰的地方。

該腳本還會下載名為passwd的文件，查找.bashrc配置文件，修改正常密碼路徑，改為/var/tmp/.xrx/passwd等。

?

創(chuàng)建新用戶cheeki，將攻擊腳本集合包中文件key中的密鑰替換到/home/cheeki/.ssh/authorized_keys下，執(zhí)行secure文件，將系統(tǒng)信息上傳到指定服務器上。

?

5.4?uninstall.sh（卸載安全軟件）

該腳本會結束Aegis監(jiān)控系統(tǒng)及其升級程序等進程。

5.5?init.sh（檢測挖礦程序執(zhí)行）

該腳本會判斷挖礦配置文件和挖礦程序是否已存在，確保挖礦程序順利執(zhí)行。

5.6?passwd（口令修改）

passwd腳本的功能是對其系統(tǒng)口令進行修改，按照base64編碼形式將修改后的口令上傳到指定服務器上。

?

5.7?secure（下載挖礦程序）

該腳本會下載挖礦程序以及挖礦配置文件，創(chuàng)建隱藏目錄.xrx，對其挖礦程序賦予執(zhí)行權限等。

secure腳本還會創(chuàng)建當前用戶以及系統(tǒng)級的計劃任務程序，定時安裝惡意腳本到系統(tǒng)中。

最后該腳本會檢查挖礦程序是否正在運行，如果沒有運行，下載挖礦程序。

6.參考IoCs

參考資料

[1]安天產(chǎn)品巡禮（系列五）——捕風蜜罐系統(tǒng)

https://www.antiy.cn/About/news/20200312.html