1. aminer挖礦木馬概覽

近期，安天CERT通過捕風蜜罐系統(tǒng)[1]捕獲了一批活躍的挖礦木馬樣本，該挖礦木馬主要利用SSH和Redis弱口令暴力破解對Linux平臺進行攻擊。由于其初始腳本中下載挖礦文件的名稱為“aminer.gz”，因此安天CERT將該挖礦木馬命名為“aminer”。

表 1?1 aminer挖礦概覽

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）Linux版本可實現(xiàn)對該挖礦木馬的有效查殺。

2??????? 樣本功能與技術(shù)梳理

aminer挖礦木馬初始攻擊腳本實際由一連串指令組成，其中包括寫入指定DNS服務(wù)器地址、使用yum包管理器安裝一系列工具和庫、下載install.tgz文件解壓后執(zhí)行install腳本、下載ns2.jpg文件內(nèi)存執(zhí)行、下載aminer.gz文件解壓后執(zhí)行start腳本進行挖礦。

install.tgz文件中包含很多與系統(tǒng)文件重名的惡意文件，如top等。這些文件均由install腳本調(diào)用，主要功能包括添加SSH公鑰、替換系統(tǒng)文件如top、netstat、crontab等、執(zhí)行irc客戶端建立后門、過濾端口號為20和43的網(wǎng)絡(luò)連接等。

ns2.jpg實際為Perl語言編寫的腳本文件，用于實現(xiàn)ShellBot功能。運行后會連接irc服務(wù)器，端口號為20。aminer.gz壓縮包中包含針對兩種操作系統(tǒng)架構(gòu)的挖礦程序，start腳本執(zhí)行后會根據(jù)當前受害者的操作系統(tǒng)架構(gòu)決定使用哪個挖礦程序，創(chuàng)建一個服務(wù)進行持久化，最后執(zhí)行挖礦程序進行挖礦。

2.1??????? oto（初始攻擊腳本）

樣本初始攻擊腳本整體流程及其核心技術(shù)如下：

1.??????? 寫入DNS服務(wù)器地址，其中包括“114.114.114.114”、“114.114.115.115”、“8.8.8.8”、“1.1.1.1”。

2.??????? 安裝一系列工具和庫，其中包括gcc、cmake、wget、curl、nano等。

3.??????? 內(nèi)存執(zhí)行ns2.jpg，該文件實際為腳本文件，采用Perl語言編寫的ShellBot，運行后會連接irc服務(wù)器（irc.tung-shu.cf），端口號為20，頻道為#ROOT。

4.??????? 使用start腳本執(zhí)行挖礦程序進行挖礦，礦池地址為3389.xiao.my.id:3389。

2.2??????? install.tgz（持久化）

install.tgz壓縮包中包含許多文件，各文件功能如下表所示：

表 2?1 install.tgz中各文件功能

?

3.? 挖礦木馬落地排查與清除方案

3.1??????? 挖礦木馬落地識別

?

3.2??????? 清除方案

?

4??????? 防護建議

針對挖礦攻擊，安天建議企業(yè)采取如下防護措施：

1.??????? 安裝終端防護：安裝反病毒軟件，針對不同平臺建議安裝安天智甲終端防御系統(tǒng)Windows/Linux版本；

2.??????? 加強SSH口令強度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務(wù)器使用相同口令；

3.??????? 及時更新補?。航ㄗh開啟自動更新功能安裝系統(tǒng)補丁，服務(wù)器應(yīng)及時更新系統(tǒng)補丁；

4.??????? 及時更新第三方應(yīng)用補?。航ㄗh及時更新第三方應(yīng)用如Redis等應(yīng)用程序補丁；

5.??????? 開啟日志：開啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、錯誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎(chǔ)；

6.??????? 主機加固：對系統(tǒng)進行滲透測試及安全加固；

7.??????? 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

8.??????? 安天服務(wù)：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務(wù)熱線：400-840-9234。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該挖礦木馬的有效查殺。

? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

5??????? 事件對應(yīng)的ATT&CK映射圖譜

針對攻擊者投放挖礦木馬的完整過程，安天梳理本次攻擊事件對應(yīng)的ATT&CK映射圖譜如下圖所示。

攻擊者使用的技術(shù)點如下表所示：

表 5?1 事件對應(yīng)的ATT&CK技術(shù)行為描述表

?

6??????? IoCs

參考資料

[1]???? 安天產(chǎn)品巡禮（系列五）——捕風蜜罐系統(tǒng)

https://www.antiy.cn/About/news/20200312.html