1??????? 引言

隨著近幾年區(qū)塊鏈技術(shù)和加密貨幣等虛擬貨幣的興起，挖礦木馬的開源導(dǎo)致獲取挖礦木馬的門檻降低，除大量黑產(chǎn)組織持續(xù)運(yùn)營(yíng)挖礦木馬之外，更有其他非運(yùn)營(yíng)挖礦木馬的黑產(chǎn)組織將運(yùn)營(yíng)方向轉(zhuǎn)為挖礦木馬，導(dǎo)致挖礦木馬的持續(xù)活躍。2021年9月3日，國(guó)家發(fā)展改革委等部門發(fā)布關(guān)于整治虛擬貨幣“挖礦”活動(dòng)的通知[1]，明確要求整治虛擬貨幣挖礦活動(dòng)，打擊挖礦活動(dòng)已然勢(shì)在必行。在發(fā)文后的這一年里挖礦整治活動(dòng)效果顯著，政企校等組織單位所遭遇的挖礦木馬數(shù)量持續(xù)降低。依據(jù)有關(guān)數(shù)據(jù)，2022年加密貨幣價(jià)格多次下跌、市場(chǎng)價(jià)值整體呈現(xiàn)下降趨勢(shì)，但傳播挖礦木馬對(duì)于攻擊者而言仍有利可圖，因此，在2022年中還是有很多小型挖礦木馬家族興起。例如Hezb、“1337”和Kthmimu等挖礦木馬家族等。

安天CERT將近幾年歷史跟蹤儲(chǔ)備的典型流行挖礦木馬家族組織梳理形成專題報(bào)告，在未來幾個(gè)月依次發(fā)布，并持續(xù)追蹤新的流行挖礦家族。專題報(bào)告將詳細(xì)介紹挖礦木馬家族歷史演進(jìn)、詳細(xì)分析家族樣本迭代版本、梳理歷史攻擊事件、提供感染后排查手段以及公布更多的IoCs，另外我們也會(huì)不斷完善自身安全產(chǎn)品能力，采取有效技術(shù)方案對(duì)挖礦木馬實(shí)施檢測(cè)和清除，幫助政企校等組織單位有效防護(hù)和清除挖礦木馬。

2??????? 挖礦木馬簡(jiǎn)介

2.1??????? 什么是挖礦

“挖礦”是指通過執(zhí)行工作量證明或其他類似的電腦算法來獲取虛擬貨幣，“礦”代表的是虛擬貨幣，挖礦的工人通常稱為“礦工”。而“挖礦木馬”是一種集成化惡意代碼，能夠通過各種手段將挖礦程序植入受害者的計(jì)算機(jī)中，在用戶不知情的情況下，利用受害者計(jì)算機(jī)的運(yùn)算力進(jìn)行挖礦，從而獲取非法收益。這類非法入侵用戶計(jì)算機(jī)的挖礦程序被稱作挖礦木馬。

挖礦方式有兩種：一種是solo式（直接連入中心網(wǎng)絡(luò)工作），產(chǎn)出收益均歸自己所有；另一種是連入礦池，收益與礦池分成。由于連入礦池的技術(shù)難度較低并且收益相對(duì)穩(wěn)定，所以挖礦木馬通常會(huì)采用這種方式。挖礦類型也有兩種：一種是被動(dòng)型挖礦，在用戶不知情的情況下被植入挖礦程序，獲取的虛擬貨幣歸植入挖礦程序的入侵者所有；另一種是主動(dòng)型挖礦，人員主動(dòng)利用計(jì)算資產(chǎn)運(yùn)行挖礦程序，獲取的虛擬貨幣歸計(jì)算資產(chǎn)所有者或使用者所有。挖礦的本質(zhì)是計(jì)算符合條件的hash值并返回，采用的方式為暴力破解式計(jì)算，主要特征表現(xiàn)為消耗主機(jī)資源，浪費(fèi)用戶電力資源。

2.2??????? 為什么挖礦活動(dòng)會(huì)日益猖獗？

將其與同樣很流行的勒索活動(dòng)進(jìn)行對(duì)比可以發(fā)現(xiàn)，相對(duì)于勒索軟件，挖礦活動(dòng)收入更加穩(wěn)定。在勒索事件中，一方面很難精確定位加密到有重要內(nèi)容的主機(jī)，另一方面受害者交付贖金后又不能保證一定得到解鎖服務(wù)，這就導(dǎo)致了勒索活動(dòng)的規(guī)模和獲得的贖金嚴(yán)重不成正比。

而在挖礦活動(dòng)中，挖礦木馬只要運(yùn)行在計(jì)算機(jī)上就可以在礦池中獲得shares（具體情況要根據(jù)礦池的分配模式）并轉(zhuǎn)換成收益。挖礦的難度也比勒索活動(dòng)要低，其大部分會(huì)使用開源的程序并注冊(cè)一個(gè)錢包地址，挖礦過程中不需要投入其他精力便可坐享其成。

另外，虛擬貨幣的增值性和匿名性也是促使挖礦木馬日益猖獗的原因之一。通過虛擬貨幣不僅可以逃避現(xiàn)實(shí)世界的金融追查手段而且還獲得了具有增值潛力的貨幣，可謂一箭雙雕，這也是挖礦木馬更喜歡匿名貨幣（例：門羅幣）的原因。

2.3??????? 挖礦木馬的危害

通常情況下，受害者會(huì)認(rèn)為挖礦木馬只是會(huì)讓系統(tǒng)卡頓，并不會(huì)對(duì)自身造成太大的影響，但是挖礦木馬除了會(huì)讓系統(tǒng)卡頓之外，還會(huì)降低計(jì)算機(jī)設(shè)備性能和使用壽命，危害組織運(yùn)營(yíng)，浪費(fèi)組織電力能源。不僅如此，現(xiàn)在的挖礦木馬普遍會(huì)留置后門，導(dǎo)致受害者主機(jī)淪為攻擊者的控制節(jié)點(diǎn)，以此組建僵尸網(wǎng)絡(luò)，繼而下發(fā)命令攻擊其他計(jì)算機(jī)，因此，現(xiàn)階段的挖礦木馬已經(jīng)不單單是執(zhí)行挖礦這一簡(jiǎn)單操作，而是逐步開始利用入侵能力謀取更多非法利益。

3??????? Sysrv-hello挖礦蠕蟲概述

Sysrv-hello是一個(gè)利用多種漏洞傳播的Windows和Linux雙平臺(tái)挖礦蠕蟲，主要目的在于傳播挖礦蠕蟲，繼而實(shí)現(xiàn)挖礦獲利。該挖礦蠕蟲于2020年12月31日被首次披露，由于捕獲的大量樣本原始文件名以“sysrv”字符串為主，且樣本內(nèi)使用的函數(shù)或模塊路徑中均包含“hello”字符串，研究人員將其命名為Sysrv-hello[2]。Sysrv-hello挖礦蠕蟲傳播的文件主要有核心腳本、蠕蟲母體及挖礦程序。其中核心腳本文件類型有Shell和PowerShell，主要承擔(dān)下載并執(zhí)行蠕蟲，Linux腳本功能包括結(jié)束競(jìng)品、防御規(guī)避、持久化、橫向傳播等功能，PowerShell腳本更聚焦在防御規(guī)避和持久化上；蠕蟲母體是由GO語言編寫，利用各種漏洞進(jìn)行核心腳本的傳播，進(jìn)而實(shí)現(xiàn)自身的間接傳播；挖礦程序負(fù)責(zé)劫持目標(biāo)主機(jī)計(jì)算資源以此實(shí)施挖礦，該程序主要通過蠕蟲母體釋放并執(zhí)行，但存在一段時(shí)間由核心腳本負(fù)責(zé)下載和執(zhí)行。

Sysrv-hello挖礦蠕蟲的更新主要體現(xiàn)在核心腳本和蠕蟲母體上，其中蠕蟲母體的迭代以漏洞利用組件的數(shù)量最為明顯，且存在嘗試部分漏洞并淘汰的現(xiàn)象，截至目前其使用過的漏洞達(dá)20個(gè)以上，常用的在18個(gè)以上，而可明顯觀察的核心腳本的迭代就達(dá)13次以上。

Sysrv-hello挖礦蠕蟲有別于其他挖礦木馬，不注重在傳播時(shí)維持對(duì)目標(biāo)系統(tǒng)的訪問，而是更注重通過新增漏洞利用組件提高傳播能力，實(shí)現(xiàn)持續(xù)增長(zhǎng)和維持高穩(wěn)定的挖礦收益。

4??????? Sysrv-hello挖礦蠕蟲介紹

Sysrv-hello挖礦蠕蟲于2020年12月31日被首次披露，通過漏洞傳播，無針對(duì)性目標(biāo)，蠕蟲樣本更新頻繁，是一個(gè)活躍在Windows和Linux的雙平臺(tái)挖礦蠕蟲。根據(jù)其近兩年的活動(dòng)，可將其發(fā)展分為三個(gè)階段：前期嘗試傳播、中期擴(kuò)大傳播和后期注重防御規(guī)避并維持傳播力度。從三個(gè)階段的樣本分析看，其背后黑產(chǎn)組織并不重視維持對(duì)目標(biāo)主機(jī)的訪問權(quán)限，只在中期和后期的Redis漏洞利用中添加了在目標(biāo)系統(tǒng)中植入SSH公鑰的功能；其更加注重收益，盡可能擴(kuò)展和維持傳播能力，由于其后期礦池連接方式采用礦池代理，無法獲取其全面的收益情況，但在2021年3月份期間平均每?jī)商焓找嬉粋€(gè)門羅幣[3]，按當(dāng)時(shí)市價(jià)，即平均每天收益100美元。

表 4?1 Sysrv-hello挖礦蠕蟲基本信息

Sysrv-hello挖礦蠕蟲的傳播階段依據(jù)其近兩年的更新、樣本功能、挖礦模式，可將其傳播過程分為三個(gè)階段，前期傳播為主，此時(shí)應(yīng)是攻擊者的蠕蟲傳播嘗試階段；中期擴(kuò)大傳播力度，漏洞數(shù)量也有很大提升，具體感染范圍也可通過3月份的收益進(jìn)行推測(cè)；后期注重規(guī)避并維持傳播能力，進(jìn)一步提升漏洞數(shù)量，同時(shí)注重從礦池地址、漏洞模塊名稱、樣本落地名稱等方面的防御規(guī)避。

5??????? Sysrv-hello挖礦蠕蟲對(duì)應(yīng)的ATT&CK映射圖譜

Sysrv-hello挖礦蠕蟲對(duì)應(yīng)的技術(shù)特點(diǎn)分布圖：

具體ATT&CK技術(shù)行為描述表：

表 5?1 事件對(duì)應(yīng)的ATT&CK技術(shù)行為描述表

6??????? 防護(hù)建議

針對(duì)非法挖礦，安天建議企業(yè)采取如下防護(hù)措施：

1.??????? 安裝終端防護(hù)：安裝反病毒軟件，針對(duì)不同平臺(tái)建議安裝安天智甲終端防御系統(tǒng)Windows/Linux版本；

2.??????? 加強(qiáng)SSH口令強(qiáng)度：避免使用弱口令，建議使用16位或更長(zhǎng)的密碼，包括大小寫字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

3.??????? 及時(shí)更新補(bǔ)?。航ㄗh開啟自動(dòng)更新功能安裝系統(tǒng)補(bǔ)丁，服務(wù)器應(yīng)及時(shí)更新系統(tǒng)補(bǔ)?。?/p>

4.??????? 及時(shí)更新第三方應(yīng)用程序補(bǔ)?。航ㄗh及時(shí)更新第三方應(yīng)用程序，特別是與業(yè)務(wù)相關(guān)的，如Redis、WebLogic、JBOOS等應(yīng)用程序補(bǔ)丁；

5.??????? 開啟日志：開啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、錯(cuò)誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎(chǔ)；

6.??????? 主機(jī)加固：對(duì)系統(tǒng)進(jìn)行滲透測(cè)試及安全加固；

7.??????? 部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對(duì)惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測(cè)系統(tǒng) （PTD）以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，能精準(zhǔn)檢測(cè)出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

安天服務(wù)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)該挖礦木馬的有效查殺。

7??????? 樣本分析

以下樣本分析的對(duì)象是截至本報(bào)告發(fā)布時(shí)的最新樣本，其中母體樣本由于雙平臺(tái)，樣本功能一致性原因，僅分析了Linux平臺(tái)樣本。與上一版本的區(qū)別在于改變C2地址和礦池代理地址。

7.1??????? ldr.ps1核心腳本分析

7.1.1???????? 樣本標(biāo)簽

表 7?1 ldr.ps1樣本標(biāo)簽

7.1.2? ? ? ? ?腳本初始化

腳本在開頭定義C2地址、挖礦蠕蟲落地后的隨機(jī)字符串文件名及存儲(chǔ)路徑。

7.1.3? ? ? ? ?防御規(guī)避

通過netsh命令關(guān)閉所有防火墻配置文件啟用狀態(tài)，確保后期C2和礦池的正常連接。

7.1.4? ? ? ? ?結(jié)束自身和其他可疑進(jìn)程

以挖礦蠕蟲歷史進(jìn)程名和挖礦程序歷史進(jìn)程名結(jié)束自身在目標(biāo)主機(jī)的相關(guān)進(jìn)程，同時(shí)以端口號(hào)為依據(jù)結(jié)束目標(biāo)主機(jī)上可疑礦池連接的進(jìn)程。

7.1.5? ? ? ? ?投放挖礦蠕蟲并建立持久化駐留

在無“kthreaddk”進(jìn)程的情況下，下載并執(zhí)行挖礦蠕蟲，同時(shí)以該蠕蟲為載體創(chuàng)建名為“BrowserUpdate”的計(jì)劃任務(wù)和注冊(cè)表自啟動(dòng)。

7.2? ? ? ??ldr.sh核心腳本分析

7.2.1???????? 樣本標(biāo)簽

表 7?2 ldr.sh樣本標(biāo)簽：

7.2.2? ? ? ? ?腳本初始化

默認(rèn)設(shè)置各類shell解釋器執(zhí)行本腳、定義C2地址、蠕蟲母體樣本文件名隨機(jī)化方式。

7.2.3? ? ? ? ?封裝下載函數(shù)

封裝下載函數(shù)，設(shè)置各種下載方式，確保蠕蟲母體能夠正常下載，并完成執(zhí)行權(quán)限的賦權(quán)。

7.2.4???????? 防御規(guī)避

關(guān)閉受害系統(tǒng)防火墻并開放所有網(wǎng)絡(luò)訪問。

卸載云主機(jī)安全組件和服務(wù)。

擦除相關(guān)日志數(shù)據(jù)。

7.2.5? ? ? ? ?結(jié)束競(jìng)品和自身進(jìn)程

在結(jié)束競(jìng)品上，處置對(duì)象主要以可疑進(jìn)程名、可疑計(jì)劃任務(wù)為主。結(jié)束自身進(jìn)程以“kthreaddk”為依據(jù)。

7.2.6? ? ? ? ?部署挖礦蠕蟲

下載并執(zhí)行Sysrv-hello挖礦蠕蟲，執(zhí)行后刪除蠕蟲載體及相關(guān)文件。

7.2.7? ? ? ? ?橫向傳播

通過受害主機(jī)上的私鑰信息及歷史SSH連接的IP地址，遍歷驗(yàn)證私鑰和其他主機(jī)是否匹配，嘗試免密SSH連接遠(yuǎn)程主機(jī)，同時(shí)在遠(yuǎn)程主機(jī)上執(zhí)行下載并執(zhí)行核心腳本的命令。

7.3? ? ? ??蠕蟲母體樣本分析

7.3.1???????? 樣本標(biāo)簽

表 7?3蠕蟲母體樣本標(biāo)簽

7.3.2? ? ? ? ?基礎(chǔ)功能模塊

通過封裝base64編解碼、端口探測(cè)、會(huì)話控制、字符串操作等功能，為后續(xù)模塊提供便捷。

7.3.3? ? ? ? ?端口掃描模塊

端口掃描模塊集成了端口掃描初始化、TCP掃描、SYN掃描、TCP頭、SYN發(fā)包等功能，為漏洞利用提供前期探測(cè)作用。

7.3.4? ? ? ? ?漏洞利用模塊

漏洞利用模塊封裝了漏洞利用模塊初始化、會(huì)話控制、各漏洞利用組件（19個(gè)）。

每個(gè)漏洞利用組件至少有三個(gè)函數(shù)，包括初始化、檢查和執(zhí)行，其他主要是輔助函數(shù)，如暴力破解、請(qǐng)求等。

較為特殊的是在Redis弱口令暴力破解模塊中，在成功暴力破解后除了傳播挖礦蠕蟲，還會(huì)植入硬編碼的SSH公鑰。

樣本中自定義的漏洞編碼（Sysrv-hello挖礦蠕蟲作者以此對(duì)抗安全研究人員分析）對(duì)應(yīng)的漏洞編號(hào)和描述如下：

表 7?4?蠕蟲母體漏洞列表

7.3.5? ? ? ? ?挖礦投放模塊

挖礦投放模塊設(shè)置多個(gè)函數(shù)，實(shí)現(xiàn)挖礦程序初始化、挖礦進(jìn)程管理、挖礦程序釋放等功能，其中初始化過程會(huì)計(jì)算母體樣本中的挖礦程序文件MD5值，進(jìn)程管理上會(huì)結(jié)束老版本的挖礦進(jìn)程。

礦池代理地址及端口為194.38.23.2:8080，上一版本的是194.145.227.21:5443。

8??????? Sysrv-hello挖礦蠕蟲迭代

8.1??????? 核心腳本的迭代更新

8.1.1???????? 核心腳本簡(jiǎn)介

Sysry-hello是一個(gè)Windows和Linux雙平臺(tái)挖礦蠕蟲，蠕蟲母體主要通過核心腳本執(zhí)行，因此存在兩類腳本文件，即PowerShell腳本和shell腳本。從該挖礦蠕蟲的系列活動(dòng)特點(diǎn)分析，可將傳播Sysrv-hello挖礦蠕蟲過程可分為三個(gè)階段，前期傳播為主，中期擴(kuò)大傳播力度，后期注重規(guī)避并維持傳播能力。

8.1.2???????? 文件名變化

Sysrv-hello挖礦蠕蟲的核心腳本和母體樣本下載鏈接中的原始名稱基本保持不變，核心腳本原始名稱始終保持一致。Windows平臺(tái)的為“l(fā)dr.ps1”，Linux平臺(tái)的為“l(fā)dr.sh”，母體樣本原始名稱主要以sysrv和sysrvv為主。不過其母體文件落地目標(biāo)系統(tǒng)的文件名卻顯示了該挖礦蠕蟲不斷迭代的特點(diǎn)，主要以sysrv、sysrv001-sysrv013、6-12位隨機(jī)字符串為主，依次體現(xiàn)在核心腳本所寫的母體樣本植入目標(biāo)系統(tǒng)的代碼中。

表 8?1?文件名變化：

8.1.3???????? 核心腳本功能迭代

核心腳本功能迭代的變化充分反映Sysrv-hello挖礦蠕蟲的發(fā)展階段特點(diǎn)。

表 8?2?核心腳本功能迭代：

8.1.4???????? C2地址變化

以下是核心腳本中涉及的母體樣本落地文件名變化及對(duì)應(yīng)C2地址， Sysrv-hello挖礦蠕蟲使用的基礎(chǔ)設(shè)施較為豐富，投放樣本的活動(dòng)也非常頻繁。

表 8?3 C2地址變化：

8.2? ? ? ??母體樣本的迭代更新

8.2.1???????? 母體樣本簡(jiǎn)介

Sysrv-hello母體文件是由GO語言編寫的Windows和Linux雙平臺(tái)挖礦蠕蟲，投放的樣本都會(huì)采用UPX加殼，期間使用的UPX版本不一致。母體文件具備端口掃描、暴力破解、漏洞利用等攻擊和探測(cè)行為，成功后植入下載并執(zhí)行核心腳本的命令，利用核心腳本下載并執(zhí)行母體文件，實(shí)現(xiàn)自身傳播；同時(shí)母體文件還具備安裝挖礦程序的功能。

8.2.2???????? 母體模塊變化

模塊功能變化反映了攻擊者的意圖，其中將前期的邊界設(shè)備探測(cè)模塊封裝在中后期基礎(chǔ)功能中，后期將模塊中的hello字符串修改為shell，不排除是大量廠商對(duì)其活動(dòng)披露后的一種簡(jiǎn)單規(guī)避。

表 8?4 母體模塊變化：

8.2.3? ? ? ? ?漏洞模塊變化

表 8?5?漏洞模塊變化：

8.2.4? ? ? ? ?挖礦模塊變化

表 8?6?挖礦模塊變化：

9??????? 關(guān)聯(lián)分析

9.1??????? “黑吃黑”現(xiàn)象

在捕獲的樣本中，發(fā)現(xiàn)一個(gè)可疑的核心腳本，功能及代碼風(fēng)格與Sysrv-hello挖礦蠕蟲核心腳本不太一致，最為突出的是其具備在目標(biāo)系統(tǒng)中寫入SSH公鑰的功能，同時(shí)下載挖礦蠕蟲母體文件的URL拼接方式不同。

下載的母體文件功能和代碼與Sysrv-hello挖礦蠕蟲母體樣本一致，但硬編碼了一個(gè)錢包地址，從未在Sysrv-hello挖礦蠕蟲迭代的母體樣本中出現(xiàn)。

母體文件中也硬編碼了母體文件下載連接中的IP地址。

通過關(guān)聯(lián)涉及的IP地址、錢包地址、SSH公鑰，均指向了Cleanfda挖礦木馬。安天CERT推測(cè)此種現(xiàn)象可能是Cleanfda挖礦木馬的攻擊者捕獲的Sysrv-hello挖礦蠕蟲母體的某個(gè)版本（該版本存在7個(gè)漏洞利用組件），繼而替換了其中的C2地址和錢包地址，存放自己的服務(wù)器中，并編寫對(duì)應(yīng)的核心腳本，實(shí)現(xiàn)傳播能力的劫持。

9.2? ? ? ??具備永恒之藍(lán)漏洞傳播

在一個(gè)捕獲到的后期樣本中，發(fā)現(xiàn)具備永恒之藍(lán)漏洞利用組件，具備釋放相關(guān)利用組件，實(shí)現(xiàn)傳播Sysrv-hello挖礦蠕蟲功能。但該漏洞利用模塊未能持續(xù)保留，應(yīng)該是攻擊者做的一種嘗試，同時(shí)不排除在歷史傳播階段出現(xiàn)其他漏洞利用模塊，而在后期被淘汰了。

10??????? 自查及處置

10.1??????? Windows平臺(tái)

1.??????? 檢查系統(tǒng)進(jìn)程列表，是否存在進(jìn)程名包含這些“network”、“kthreadd”、“sysrv”字符串的進(jìn)程，存在則結(jié)束該進(jìn)程；

2.??????? 檢查系統(tǒng)進(jìn)程列表，是否存在進(jìn)程名包含類似“ylket8pfrj5”、“sgoj57n3”、“bp5ovz”的6-12隨機(jī)字符串的進(jìn)程，存在則結(jié)束該進(jìn)程；

3.??????? 檢查系統(tǒng)自啟動(dòng)項(xiàng)，查看啟動(dòng)項(xiàng)的對(duì)應(yīng)的載荷文件名是否包含類似“ylket8pfrj5”、“sgoj57n3”、“bp5ovz”的6-12隨機(jī)字符串，存在則刪除該自啟動(dòng)項(xiàng)；

4.??????? 檢查系統(tǒng)計(jì)劃任務(wù)，查看是否存在名為“BrowserUpdate”的計(jì)劃任務(wù)，載荷對(duì)應(yīng)路徑為臨時(shí)目錄，存在則刪除。

10.2??????? Linux平臺(tái)

1.??????? 檢查系統(tǒng)進(jìn)程列表，是否存在進(jìn)程名包含這些“network”、“kthreadd”、“sysrv”字符串的進(jìn)程，存在則結(jié)束該進(jìn)程；

2.??????? 檢查系統(tǒng)進(jìn)程列表，是否存在進(jìn)程名包含類似“5c46403e1d”、“ce368c626”、“ce368c626”的6-12隨機(jī)字符串的進(jìn)程，存在則結(jié)束該進(jìn)程；

3.??????? 查看計(jì)劃任務(wù)中是否存在下載鏈接，且下載的文件名為“l(fā)dr.sh”,存在則刪除對(duì)應(yīng)計(jì)劃任務(wù)。

11? ? ? ??IoCs

參考資料

[1]??? 國(guó)家發(fā)展改革委等部門關(guān)于整治虛擬貨幣“挖礦”活動(dòng)的通知

http://www.gov.cn/zhengce/zhengceku/2021-09/25/content_5639225.htm

?

[2]??? Sysrv-hello 新型挖礦現(xiàn)身

https://developer.aliyun.com/article/780758?spm=a2c6h.14164896.0.0.7e0f3d89eoiqz7

?

[3]??? Sysrv Botnet Expands and Gains Persistence（Sysrv僵尸網(wǎng)絡(luò)不斷擴(kuò)大并持續(xù)存在）

https://blogs.juniper.net/en-us/threat-research/sysrv-botnet-expands-and-gains-persistence

?

[4]??? 雙平臺(tái)挖礦僵尸網(wǎng)絡(luò)Sysrv-hello加持新漏洞再度來襲

https://www.anquanke.com/post/id/271672