如何解析基于Linux和Window雙平臺(tái)新型挖礦病毒

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)如何解析基于Linux和Window雙平臺(tái)新型挖礦病毒，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

這是一款近期非常流行的挖礦病毒，基于Linux和Windows雙平臺(tái)，主體程序都是使用GO語言進(jìn)行編寫的，并通過多個(gè)漏洞進(jìn)行傳播，估計(jì)國(guó)內(nèi)已經(jīng)有不少服務(wù)器被感染,筆者最近一段時(shí)間發(fā)現(xiàn)它更新了，并捕獲到它的最新的腳本,通過分析，下載服務(wù)器URL地址為：

https://us.gsearch.com.de/api/sysupdate

http://209.182.218.161:80/363A3EDC10A2930D/sysupdate

https://us.gsearch.com.de/api/update.sh

http://209.182.218.161:80/363A3EDC10A2930D/update.sh

https://us.gsearch.com.de/api/config.json

http://209.182.218.161:80/363A3EDC10A2930D/config.json

https://us.gsearch.com.de/api/networkservice

http://209.182.218.161:80/363A3EDC10A2930D/networkservice

https://us.gsearch.com.de/api/sysguard

http://209.182.218.161:80/363A3EDC10A2930D/sysguard

相應(yīng)的配置文件挖礦地址和錢包地址，如下所示：

cryptonightr.usa.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.usa

cryptonightr.eu.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.eu

cryptonightr.jp.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.jp

cryptonightr.hk.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.hk

cryptonightr.br.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.br

cryptonightr.in.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.in

xmr.f2pool.com:13531

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.nice

腳本的功能主要是結(jié)束其它挖礦程序，然后從服務(wù)器上下載三個(gè)主要的程序:sysupdate、networkservice、sysguard，分別對(duì)這三個(gè)Linux下64位主程序進(jìn)行詳細(xì)分析，

sysupdate詳細(xì)分析

sysupdate是門羅幣挖礦程序，如下所示：

版本號(hào)為：2.15.1-beta，如下所示：

加載config.json配置程序礦池和錢包地址等，如下所示：

開始挖礦，如下所示：

config.json配置文件信息，如下所示：

礦池地址：xmr.f2pool.com:13531

錢包地址：

84wSxADJuSCEPGu7FyRPa2UAgs2YkTad1izUTLWJNmyvNFLU9PpTnwYUCn66cSK5v6cfRAvDdxMzpPdirw6njjt5AcRwReU.xmrxmr2019

運(yùn)行截圖如下所示：

捕獲到了網(wǎng)絡(luò)流量包，如下所示：

networkservice詳細(xì)分析

networkservice漏洞掃描傳播程序，如下所示：

1.初始化掃描IP地址段，如下所示：

從遠(yuǎn)程服務(wù)器下載相應(yīng)的IP段數(shù)據(jù)，服務(wù)器地址：https://23.175.0.142/api/download/I9RRye，下載回來的IP地址段是數(shù)字整型，文件名為ips_cn.txt，如下所示：

數(shù)字轉(zhuǎn)化為IP地址，如下所示：

16909568 16909823      -->  1.2.5.0  1.2.5.255

737878016 737879039    -->  43.251.32.0 43.251.35.255

1733261312 1733262335  -->  103.79.120.0 103.79.123.255

2525131776 2525132799  -->  150.130.116.0 150.130.119.255

3670879488 3670879999  -->  218.205.45.0 218.205.46.255

2.從內(nèi)存中解密出相應(yīng)的PowerShell腳本，如下所示：

解密出來的PowerShell腳本地址http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/init.ps1，如下所示：

可以在windows執(zhí)行相應(yīng)的傳播、挖礦程序，如下所示：

3.創(chuàng)建計(jì)劃任務(wù)，進(jìn)行更新操作，如下所示：

4.更新執(zhí)行挖礦程序，如下所示：

5.執(zhí)行掃描、傳播程序，如下所示：

6.同時(shí)還可以下載自清除腳本進(jìn)行自清除操作，如下所示：

7.執(zhí)行各種掃描主機(jī)操作，如下所示：

8.redis未授權(quán)訪問漏洞掃描，如下所示：

9.Drupal框架CVE-2018-7600漏洞掃描，如下所示：

10.Hadoop未授權(quán)漏洞掃描，如下所示：

11.Spring框架CVE-2018-1273漏洞掃描，如下所示：

12.thinkphp框架TP5高危漏洞掃描，如下所示：

13.WebLogic框架CVE-2017-10271漏洞掃描，如下所示：

14.SQLServer框架xcmd_shell、SP_OACreate注入提權(quán)漏洞掃描，如下所示：

15.Elasticsearch框架CVE-2015-1427、CVE-2014-3120遠(yuǎn)程代碼執(zhí)行漏洞掃描，如下所示：

sysguard詳細(xì)分析

sysguard根據(jù)操作系統(tǒng)的版本下載執(zhí)行不同的payload代碼，如下所示：

1.內(nèi)存解密出PowerShell腳本，如下所示：

然后拼接PowerShell腳本，如下所示：

2.將上面的PowerShell腳本進(jìn)行Base64編碼，如下所示：

判斷是否為windows平臺(tái)，如果為windows平臺(tái)執(zhí)行上面的PowerShell腳本，如下所示：

調(diào)用執(zhí)行PowerShell腳本，如下所示：

3.如果為L(zhǎng)inux平臺(tái)，獲取主機(jī)root權(quán)限:

4.然后通過判斷不同的操作系統(tǒng)版本，與遠(yuǎn)程服務(wù)器CC通信執(zhí)行下載Payload、掃描、持久化駐留主機(jī)、更新等操作，如下所示：

5.判斷不同的操作系統(tǒng)，執(zhí)行不同的掃描程序，如下所示：

在windows操作系統(tǒng)下，啟動(dòng)掃描程序networkservice，如下所示：

并把相應(yīng)的payload命令寫入到%temp%目錄下的隨機(jī)文件名的BAT腳本中，如下所示：

啟動(dòng)掃描程序，如下所示：

捕獲到相應(yīng)的流量包，如下所示：

6. 不同的操作系統(tǒng)執(zhí)行不同的持久化操作，如下所示：

在windows操作系統(tǒng)下，創(chuàng)建相應(yīng)的計(jì)劃任務(wù)，如下所示：

創(chuàng)建的計(jì)劃任務(wù)，如下所示：

在Linux操作系統(tǒng)下，創(chuàng)建相應(yīng)的crontab自啟動(dòng)，如下所示：

7.檢測(cè)各個(gè)文件，進(jìn)行更新操作，如下所示：

執(zhí)行更新Payload，調(diào)用任務(wù)計(jì)劃中的PowerShell腳本執(zhí)行更新，如下所示：

8.與遠(yuǎn)程服務(wù)器進(jìn)行通信，如下所示：

獲取的CC服務(wù)器URL，如下所示：

http:///6HqJB0SPQqbFbHJD/pi?module=account&action=txlist&address=0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda&star

tblock=0&endblock=99999999&sort=asc&apikey=ADQAMwAuADIANAA1AC4AMgAyADIALgA1ADcAOgA4ADYANgA3AC8ANgBIAHEASgBCADAAUwBQAFEAcQBiAEYAYgBIAEoARAAvAGkAbgBpAHQALgBwAHMAMQAnACkA

執(zhí)行下載payload對(duì)應(yīng)的PowerShell腳本，并寫入到%temp%目錄下，相應(yīng)的PowerShell腳本，如下所示：

執(zhí)行完P(guān)ayload，如下所示：

上述就是小編為大家分享的如何解析基于Linux和Window雙平臺(tái)新型挖礦病毒了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。