一、概述
DDG僵尸网络最早出现于2017年,主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。
DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。
病毒的挖矿行为会对服务器性能产生极大影响,腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。
二、详细分析
1.DDG挖矿木马频繁更新
DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)
DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname-m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。
2.下发配置文件
DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本
i.sh下载地址等信息。
3.病毒脚本i.sh
下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有:
(1) 创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行 i.sh
(2) 下载更新最新版的DDG病毒,目前已更新到DDG/5023版本
(3) 结束旧版本的木马进程。
4.卸载云服务器安防产品
最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现自保护。
5.写hosts文件屏蔽竞争木马的网址
修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下
6.挖矿木马wordpress
下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。
挖矿时使用矿池:
178.128.108.158:443
103.195.4.139:443
68.183.182.120:443
安全建议:
1.为Redis添加强密码验证,切勿使用弱口令;
2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;
3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上;
4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCS:
Md5:
DDG(5015-5023)
e64b247d4cd9f8c58aedc708c822e84b
2c4b9d01d2f244bb6530b48df99d04ae
d2a81a0284cdf5280103bee06d5fe928
495dfc4ba85fac2a93e7b3f19d12ea7d
682f839c1097af5fae75e0c5c39fa054
dc87e9c91503cc8f2e8e3249cd0b52d7
c8b416b148d461334ae52aa75c5bfa79
f84a0180ebf1596df4e8e8b8cfcedf63
14fcb1d3a0f6ecea9e18eff2016bc271
挖矿木马:
d146612bed765ba32200e0f97d0330c8
i.sh:
bceb6cbb2657e9a04b6527161ba931d8
Ip:
67.205.168.20
47.94.153.241
61.129.51.79
47.101.35.209
矿池:
178.128.108.158:443
103.195.4.139:443
68.183.182.120:443
参考链接:
DDG挖矿僵尸网络利用SSH弱口令爆破攻击Linux服务器
https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA