一、背景

近期监测到Linux下挖矿攻击事件，攻击者通过masscan扫描工具对内网网段和特定端口进行扫描，利用22端口内网ssh爆破和“永恒之蓝”漏洞进行内网横向传播，利用kexec本地提权漏洞（CVE-2021-4034）进行提权，成功利用此漏洞允许任何非特权用户在易受攻击的主机上获得 root 特权，达到植入挖矿木马获利的目的。

二 样本介绍

样本信息：

挖矿木马的恶意服务器上存放Linux挖矿有关样本，如下：

三、样本分析

1、sh样本

攻击者利用masscan工具对172.x.x.x、10.x.x.x 和 192.x.x.x 网段进行扫描，指定扫描端口为22、135、445，并且指定扫描速率为10000，将每次扫描结果保存到（RESULTS_172.xml、RESULTS_10.xml 和 RESULTS_192.xml）文件中。扫描网段均为内网IP网段，通过扫描端口可知该攻击者通过22端口内网ssh爆破传播挖矿木马、利用“永恒之蓝”漏洞在内网传播挖矿木马。

图3‑1 探测扫描脚本

2、in.sh样本

该脚本的功能是下载了名为 sshd.sh 的文件，并将其保存到 /tmp 目录，给sshd.sh 文件添加了可执行权限，运行名为 sshd.sh 的脚本文件。

图3‑2下载挖矿木马

脚本将生成一个名为 sshdabc.service 的 Systemd 服务单元文件，并将其保存到 /etc/systemd/system/ 目录中。该服务单元文件的内容如下：

并创建了一个 Systemd 服务单元，确保脚本在系统引导时自动运行。

3、sshd.sh样本

这段脚本的主要目的是解码并执行一个挖矿程序，将其设置为在后台持续运行。主要是进行挖矿程序的设置和执行。该脚本将一段经过 base64 编码的字符串解码后存储到 /tmp/abc 文件中。使用 chmod +x "$TMP_BINARY" 给下载的文件添加了可执行权限。通过 nohup 命令以及输出重定向，使得该程序在后台运行，并且不受终端关闭的影响。

图3‑3 提取挖矿木马

图3‑4 执行挖矿木马

挖矿信息如下

矿池地址：103.**.**.188:1123

用户名：ZEPHs8LLn8b4JL3UAZs9LYXZ7FZpFTS4qetvcxUWHYXQ7D4EBLKcJv98oyrxQwvykDZXDfhj2ziVeQ9xeeRNAxv91HwH2qKyS4N

收益：0.484215 ZEPH

图3‑5 ZEPH挖矿状态

图3‑5 ZEPH挖矿收益

图3‑6 挖工相关信息

四、解决方案

1、手动清除挖矿木马，删除病毒体rm -rf /tmp/sshd.sh,rm /tmp/abc

2、手动清除开机自启动，rm -rf /etc/systemd/system/sshdabc.service

3、排查内网弱口令和永恒之蓝漏洞并修复。

五、相关IOC

MD5

c9ba886**********************c971b74
c2dca97**********************18c23ce3
c8934f8***********************7f9e6c
cee5e01***********************edf387

C2

103.**.**.188:1123

URL

http://154.**.**.78/1.sh

http://154.**.**.78/cve-2021-4034

http://154.**.**.78/ in.sh

http://154.**.**.78/ sshd.sh