1.概述

---

近期，安天CERT監(jiān)測(cè)到一起挖礦木馬攻擊事件，該挖礦木馬從2024年3月開始出現(xiàn)，并持續(xù)更新攻擊腳本。該攻擊腳本針對(duì)操作系統(tǒng)類型下載對(duì)應(yīng)的挖礦程序、檢查系統(tǒng)環(huán)境是否有curl、Python、Perl等工具，如果沒有會(huì)進(jìn)行下載適配、對(duì)CPU進(jìn)行一個(gè)合理的功率限制，確保不會(huì)影響正常操作和業(yè)務(wù)等等?？傊?，該挖礦木馬會(huì)盡可能的獨(dú)占資源進(jìn)行挖礦，且一定程序不影響受害操作系統(tǒng)穩(wěn)定性。該挖礦木馬暫未歸因到任何組織，因其在腳本中多次出現(xiàn)“app”字符串，故安天CERT將該挖礦木馬命名為“app Miner”。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)可實(shí)現(xiàn)該挖礦木馬的有效查殺。

2.攻擊流程

---

app Miner挖礦木馬首先會(huì)執(zhí)行一系列功能模塊中的功能，如根據(jù)CPU線程數(shù)估算門羅幣（Monero）挖礦的哈希率、根據(jù)不同的系統(tǒng)動(dòng)態(tài)調(diào)整CPU的功率或資源使用參數(shù)、遍歷指定目錄嘗試找到一個(gè)足夠空間投放挖礦木馬的目錄、根據(jù)受害主機(jī)操作系統(tǒng)類型和架構(gòu)等，生成一個(gè)格式化的文件名、查找感染系統(tǒng)中正在運(yùn)行的競(jìng)品挖礦進(jìn)程等等。之后會(huì)從指定的URL上下載挖礦程序、設(shè)置挖礦配置文件進(jìn)行挖礦。該挖礦木馬還有很多函數(shù)具有多種功能，但默認(rèn)狀態(tài)下腳本未開啟這些功能或待開發(fā)中，其中主要包括計(jì)劃任務(wù)函數(shù)、服務(wù)函數(shù)、進(jìn)程檢查函數(shù)等等。

圖2-1 攻擊流程圖

3.腳本功能分析

根據(jù)CPU線程數(shù)估算Monero挖礦的哈希率，然后基于這個(gè)哈希率動(dòng)態(tài)計(jì)算并選擇一個(gè)端口號(hào)。用于配置一個(gè)挖礦程序以選擇適當(dāng)?shù)亩丝谶M(jìn)行通信。這樣的設(shè)計(jì)可能是為了在不同機(jī)器上運(yùn)行時(shí)根據(jù)機(jī)器的不同性能選擇合適的設(shè)置。

圖 3?1 估算Monero挖礦的哈希率

在不同的系統(tǒng)上動(dòng)態(tài)地調(diào)整CPU的功率或資源使用參數(shù)，具體應(yīng)用可能與某些程序的性能優(yōu)化或資源控制有關(guān)，比如在挖礦腳本中根據(jù)硬件性能調(diào)整工作負(fù)載。

圖 3?2 動(dòng)態(tài)調(diào)整CPU功率

遍歷一系列目錄（如$HOME，$PWD，/var/tmp，/dev/shm，/var/run，/tmp），嘗試在這些目錄中找到一個(gè)可寫的目錄，并檢查其是否有足夠的可用空間。

圖 3?3 遍歷指定目錄并查看目錄可用空間大小

根據(jù)操作系統(tǒng)類型、架構(gòu)以及是否需要壓縮和加密，來生成一個(gè)格式化的文件名。該功能通常用于生成特定平臺(tái)和配置的可執(zhí)行文件或包的名稱，以便在不同環(huán)境中識(shí)別和使用。

圖 3?4 格式化文件名

查找系統(tǒng)中正在運(yùn)行的競(jìng)品挖礦進(jìn)程，支持精確匹配和模式匹配。它根據(jù)系統(tǒng)上可用的工具（如pgrep、ps、pidof）選擇最佳方式進(jìn)行查找，并在這些工具不可用時(shí)，通過手動(dòng)遍歷/proc文件系統(tǒng)進(jìn)行查找，當(dāng)查找到競(jìng)品挖礦進(jìn)程后，使用pkill、killall、kill等命令進(jìn)行結(jié)束進(jìn)程。

圖 3?5 查找正在運(yùn)行的競(jìng)品挖礦進(jìn)程

更改挖礦程序落地目錄的權(quán)限。

圖 3?6 更改挖礦程序落地目錄的權(quán)限

從指定的URL下載挖礦程序，并根據(jù)受害者機(jī)器上的工具進(jìn)行下載操作。如wget、curl、perl、Python 2.x和Python 3.x等。

圖 3?7 下載挖礦程序

設(shè)置挖礦配置文件，礦池地址為207.180.217.230:80。

圖 3?8 設(shè)置挖礦配置文件

4.事件對(duì)應(yīng)的ATT&CK映射圖譜

針對(duì)攻擊者投放挖礦木馬的完整過程，安天梳理本次攻擊事件對(duì)應(yīng)的ATT&CK映射圖譜如下圖所示。

圖 4?1 事件對(duì)應(yīng)的ATT&CK映射圖譜

攻擊者使用的技術(shù)點(diǎn)如下表所示：

表4?1 事件對(duì)應(yīng)的ATT&CK技術(shù)行為描述表

5.防護(hù)建議

1. 安裝終端防護(hù)：安裝反病毒軟件，針對(duì)不同平臺(tái)建議安裝安天智甲終端防御系統(tǒng)Windows/Linux版本；

2. 加強(qiáng)SSH口令強(qiáng)度：避免使用弱口令，建議使用16位或更長(zhǎng)的口令，包括大小寫字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

3. 及時(shí)更新補(bǔ)丁：建議開啟自動(dòng)更新功能安裝系統(tǒng)補(bǔ)丁，服務(wù)器應(yīng)及時(shí)更新系統(tǒng)補(bǔ)丁；

4. 及時(shí)更新第三方應(yīng)用補(bǔ)丁：建議及時(shí)更新第三方應(yīng)用如Redis等應(yīng)用程序補(bǔ)??；

5. 開啟日志：開啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、錯(cuò)誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎(chǔ)；

6. 主機(jī)加固：對(duì)系統(tǒng)進(jìn)行滲透測(cè)試及安全加固；

7. 部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對(duì)惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測(cè)系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，能精準(zhǔn)檢 測(cè)出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

8. 安天服務(wù)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

建議企業(yè)用戶部署專業(yè)的終端安全防護(hù)產(chǎn)品，對(duì)本地新增和啟動(dòng)文件進(jìn)行實(shí)時(shí)檢測(cè)，并周期性進(jìn)行網(wǎng)內(nèi)病毒掃描。安天智甲終端安全系列產(chǎn)品（以下簡(jiǎn)稱“智甲”）依托安天自研威脅檢測(cè)引擎和內(nèi)核級(jí)主動(dòng)防御能力，可以有效查殺本次發(fā)現(xiàn)病毒樣本。

智甲客戶端通過主動(dòng)防御能力實(shí)時(shí)檢測(cè)本地腳本執(zhí)行行為，對(duì)執(zhí)行腳本進(jìn)行威脅檢測(cè)，一旦發(fā)現(xiàn)啟動(dòng)腳本為惡意文件，可自動(dòng)攔截并向用戶發(fā)送風(fēng)險(xiǎn)告警，保障終端環(huán)境安全。

圖 5?1運(yùn)行惡意腳本時(shí)智甲成功攔截

智甲還為用戶提供統(tǒng)一管理平臺(tái)，管理員可通過平臺(tái)集中查看網(wǎng)內(nèi)威脅事件詳情，并批量進(jìn)行處置，提高終端安全運(yùn)維效率。

圖 5?2 通過智甲管理中心可對(duì)安全事件統(tǒng)一管理和處置

6.IoCs

---