如何查殺StartMiner新型變種

這篇文章主要講解了“如何查殺StartMiner新型變種”，文中的講解內(nèi)容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“如何查殺StartMiner新型變種”吧！

背景概述

近日，深信服安全團隊捕獲到StartMiner新型變種，該變種新增了結(jié)束殺軟防護模塊，并添加了更多的駐留項防止查殺，C2地址變更為bash.givemexyz.in。

該木馬通過在服務(wù)器上創(chuàng)建多個定時任務(wù)、多個路徑釋放功能模塊的方式進行駐留，并存在SSH暴力破解模塊，下載并運行開源挖礦程序。

感染現(xiàn)象

通過$top發(fā)現(xiàn)進程dbused或dbusex高CPU占用；

通過$ps aux查看有bash和python進程從惡意域名上下載腳本執(zhí)行；

通過$tail -f /var/log/syslog可以看到執(zhí)行可疑命令：

駐留項

添加4個駐留項如下：

（1）bash啟動項 ~/.bash_profile

在打開終端時將會執(zhí)行該挖礦木馬，注意需要到對應(yīng)用戶目錄下清理bash_profile

cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null

（2）crontab計劃任務(wù)

第一個計劃任務(wù)為下載腳本執(zhí)行

可能創(chuàng)建的crontab包括

/etc/cron.d/ngnix & apache/etc/cron.hourly & daily & weekly & monthly/var/spool/cron/var/spool/cron/crontabs

查詢得到計劃任務(wù)如下：

另一個計劃任務(wù)pwnrig則是直接啟動挖礦進程：

（3）rc.d

（4）init.d

（5）系統(tǒng)服務(wù)

木馬行為

該木馬入侵主機后將在bash.givemexyz.in上下載shell腳本xms以及python腳本bb.py并執(zhí)行。備用域名為bash.givemexyz.xyz，若無dns無法解析則鏈接備用地址205.185.113.12，194.156.99.30進行下載。

xms腳本執(zhí)行流程如下：

（1）篩選并結(jié)束現(xiàn)有的挖礦進程；

（2）結(jié)束殺軟等防護（相關(guān)代碼被注釋，功能未開啟）；

（3）在ssh的known_hosts中嘗試連接其他主機（若已配置ssh免密登錄則會擴散）；

（4）清空原有計劃任務(wù)，寫入新的計劃任務(wù)；

（5）下載、校驗、執(zhí)行挖礦程序；

（6）下載SSH掃描爆破組件并執(zhí)行；

（7）執(zhí)行木馬文件2start.jpg和xms。

bb.py腳本是根據(jù)系統(tǒng)平臺類型下載對應(yīng)的挖礦程序。

處置方法

（1）刪除以下文件

/bin/bprofr

/bin/sysdr

/bin/crondr

/bin/initdr

/usr/bin/bprofr

/usr/bin/sysdr

/usr/bin/crondr

/usr/bin/initdr

/tmp/dbused

/tmp/dbusex

/tmp/xms

/tmp/x86_64

/tmp/i686

/tmp/go

/tmp/x64b

/tmp/x32b

/tmp/2start.jpg

# SSH傳播

/tmp/sshcheck

/tmp/ssh_vuln.txt

/tmp/scan.log

/tmp/ip192.txt

/tmp/hxx

/tmp/p

/tmp/scan

/tmp/masscan

/tmp/.dat

/tmp/.checking

/tmp/good.tar.gz

/tmp/sshexec

/tmp/sshpass

/tmp/sparte.txt

（2）清理計劃任務(wù)、bash_profile、rc*.d、init.d、service包含惡意文件的啟動項;

過濾并刪除包含dbused、dbusex的啟動項;

過濾并刪除包含bprofr、sysdr、crondr、initdr相關(guān)的啟動項;

（3）結(jié)束相關(guān)進程

過濾并結(jié)束包含givemexyz、198.98.57.217、194.156.99.30的進程;

過濾并結(jié)束包含dbused、dbusex的進程;

過濾并結(jié)束包含lwp_download的進程（注意是否有正常任務(wù)使用lwp_download）

IOC

bash[.]givemexyz.in

bash[.]givemexyz.xyz

205[.]185.113.12

194[.]156.99.30

感謝各位的閱讀，以上就是“如何查殺StartMiner新型變種”的內(nèi)容了，經(jīng)過本文的學習后，相信大家對如何查殺StartMiner新型變種這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關(guān)知識點的文章，歡迎關(guān)注！