freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    DDG僵尸网络频繁更新攻击Linux系统挖矿
    2020-04-02 15:39:03
    所属地 广东省

    一、概述

    DDG僵尸网络最早出现于2017年,主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 

    DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 

    病毒的挖矿行为会对服务器性能产生极大影响,​腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 

    二、详细分析

    1.DDG挖矿木马频繁更新

    DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)

    1.png


    DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname-m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。

    2.png


    2.下发配置文件

    DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpressmd5, ddg最新的更新地址,病毒脚本

    i.sh下载地址等信息。

    3.png


    3.病毒脚本i.sh

    下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有:

    (1)  创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行  i.sh

    (2)  下载更新最新版的DDG病毒,目前已更新到DDG/5023版本

    (3)  结束旧版本的木马进程。  

     

    4.png


    4.卸载云服务器安防产品

    最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现自保护。

    5.png

     

    5.写hosts文件屏蔽竞争木马的网址

    修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下

    6.png


    6.挖矿木马wordpress

    下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。

    7.png

    挖矿时使用矿池:

    178.128.108.158:443

    103.195.4.139:443

    68.183.182.120:443 

    8.png

    安全建议: 

    1.为Redis添加强密码验证,切勿使用弱口令;

    2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;   

    3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上;

    4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。  

    9.png

     

    IOCS:

    Md5:

    DDG(5015-5023)

    e64b247d4cd9f8c58aedc708c822e84b

    2c4b9d01d2f244bb6530b48df99d04ae

    d2a81a0284cdf5280103bee06d5fe928

    495dfc4ba85fac2a93e7b3f19d12ea7d

    682f839c1097af5fae75e0c5c39fa054

    dc87e9c91503cc8f2e8e3249cd0b52d7

    c8b416b148d461334ae52aa75c5bfa79

    f84a0180ebf1596df4e8e8b8cfcedf63

    14fcb1d3a0f6ecea9e18eff2016bc271

     

    挖矿木马:

    d146612bed765ba32200e0f97d0330c8

     

    i.sh:

    bceb6cbb2657e9a04b6527161ba931d8

     

    Ip:

    67.205.168.20

    47.94.153.241

    61.129.51.79
    47.101.35.209

     

    矿池:

    178.128.108.158:443

    103.195.4.139:443

    68.183.182.120:443

     

    参考链接:

    DDG挖矿僵尸网络利用SSH弱口令爆破攻击Linux服务器

    https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA

    # 腾讯安全 # 门罗币挖矿木马 # DDG挖矿病毒 # SSH暴破 # Redis暴破
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者