长亭百川云 - 文章详情

鱼死网破,AppMiner新变种来袭!

360威胁情报中心

71

2024-07-13

一、背景 

近期,360安全大脑在日常威胁巡检中发现了一种混淆的门罗币挖矿木马,分析发现其为AppMiner新变种,这是该家族继2024年1月的又一次更新。挖矿并不新鲜,但将宿主机弄崩溃的实属少见。攻击者愈发贪婪,以前仅是隐秘挖矿,新变种直接删除主机密码存储和身份认证相关系统文件实现防卸载,致使重启主机无法进入系统界面,堪称鱼死网破之举!截至发稿时其已感染近400台主机,挖矿收益约5 XMR(价值约6000元);新变种还进一步强化对抗,对C2等敏感信息加密处理以隐藏痕迹。      

为此,360安全大脑提醒广大用户,主机感染AppMiner新变种后千万不要关机或重启,应先完成该家族查杀并恢复/etc/passwd等配置文件,以免无法进入系统!鉴于该变种较大的破坏性,360安全大脑特推出AppMiner新变种专杀工具,助力广大用户实时防护及查杀修复,并建议用户从以下5个方面进行加固,以免遭受黑客攻击造成不必要的损失。

1)以保留原文件属性方式备份/etc/group 、/etc/passwd等重要系统文件;

2)服务器应配置高强度的登录密码,并定期更换;

3)修改ssh端口为其他端口(非22端口);

4)若非业务需要,不要在公网开放业务端口(如:redis、GitLab接口),采用本地或内网访问,设置访问白名单等方式进行加固;        

5)及时更新主机漏洞补丁,将应用软件升级到安全版本。

二、主要恶意功能 

分析样本信息如下:

MD5

文件名

文件类型

说明

6392a38d40c8ec0e80b9449ae6358c4b

wtoss

ELF(upx)

主模块,5个随机字符

7d7075e6b9a5a5ad36b4627567feadc7

tepemw

ELF(upx)

守护程序AppMiner2,

6个随机字符

8d2f33f064453ed41999c058ac702452

qiqapm

ELF(upx)

xmrig,6个随机字符

为了更直观反应AppMiner的演变进程,此处对其新旧版本作了对比:

更新点

2024.05****新变种

2024.01****版本

早期版本

防卸载:删除主机密码存储和身份认证相关文件

是,用户名显示为

 I have  no name !,重启主机失败

随机文件名

无附加随机字符串+精简文件名

主程序5字符、

子程序及矿工6字符

无附加随机字符串

主程序12字符、

矿工14字符

附加随机字符串

函数、变量名

Gobfuscate混淆+strip函数符号

严重混淆

+strip函数符号

无混淆

+保留函数符号

字符串

加密C2等敏感字符

明文C2

明文

终端运行日志

如下是AppMiner新变种的执行流程图:

1)攻击者通过漏洞利用、SSH暴破等方式成功入侵受害者主机后,植入并启动AppMiner新变种主模块(5个随机字符);

2)主模块请求攻击者制作的Google sites挂马页面,通过正则匹配得到真实的木马下载链接,再经二次正则匹配及base64解码后完成主程序AppMiner1(主模块近似克隆版)、子程序AppMiner2、xmrig矿工的下发及挖矿牟利;

3)主模块删除中招主机/etc目录下的密码存储、身份认证相关文件,阻止中招用户切换到root权限实现防卸载;直接重启主机会导致无法进入系统界面;

4)主程序AppMiner1运行后会重复上述主模块的步骤;

5)子程序AppMiner2作为主程序的守护程序,会再次请求Google sites挂马页面以确保主程序存活且为最新版。    

2.1 隐藏敏感信息  

AppMiner新变种(6392a38d40c8ec0e80b9449ae6358c4b)运行时无任何终端日志输出,执行后便删除自身;而早期版本则会输出如下的运行日志:

2024/06/25 15:48:59 5050 : 启动子进程成功: -> 5056

此外,新变种还对样本中的敏感字符串信息做了加密处理,如下是恢复函数符号前后的对比图:    

2.2 利用Google sites传播木马  

新变种采用了与之前版本相同的恶意模块下发逻辑,但相关C2做了加密处理。

1)新变种访问C2链接:http://www.hellkaluyou.top后返回一个html,通过正则匹配取出其中的url(红框部分)。

  1. 访问上述提取出的url,得到下一阶段html

AppMiner1下载链接:https://www.hellkaluyou.top/1, 通过exe101(.*)exe101过滤

AppMiner2下载链接:https://www.hellkaluyou.top/2,通过exe102(.\*)exe102过滤

xmrig下载链接1:https://www.hellkaluyou.top/d, 通过UPXD(.*)UPXD过滤

xmrig下载链接2:https://www.hellkaluyou.top/j, 无响应

3)通过正则匹配得到相应base64编码的elf木马,经base64解码后得到对应的elf样本(均为upx样本)。    

exe101:对应AppMiner1的下载链接,大小3504KB,6392a38d40c8ec0e80b9449ae6358c4b

exe102:对应AppMiner2下载链接, 大小3015KB,7d7075e6b9a5a5ad36b4627567feadc7

xmrig矿工:大小2810KB,8d2f33f064453ed41999c058ac702452

2.3 防卸载,重启无法进入系统界面  

主机感染AppMiner新变种后,用户名处会显示“ I have no name !”,并且无法切换到root用户,重启主机后无法进入系统界面。

分析发现,新变种删除了中招主机中/etc目录下passwd、shadow等与系统密码存储、身份认证相关文件以实现防卸载,致使系统无法查找到此类文件,从而无法认证成功、无法正常重启进入系统界面。/etc目录下被AppMiner新变种删除的的系统文件如下(红框部分):    

除了删除passwd、shadow等系统文件,AppMiner还会在/etc目录保存其下载的木马模块(木马模块使用随机文件名,主程序为5个字符,子程序为6个字符)。因此,主机感染AppMiner新变种后千万不要关机或重启,应先完成该家族查杀并恢复/etc/passwd等配置文件,否则无法进入系统界面!

2.4 持久化  

该部分功能与之前版本逻辑相同,即:

1)向/etc/profile文件中写入执行木马主模块(/etc/wtoss)的shell指令,以实现开机启动。

echo My>/dev/null 2>&1 &/etc/wtoss >/dev/null 2>&1 &

2)向crontab中写入执行主模块的定时任务(主模块运行后删除自身,并从C2下载恶意模块到 /etc目录),以实现持久化。

/bin/bash -c "(crontab -l 2>/dev/null; echo \"*/2 * * * * /etc/wtoss\") | crontab -"

2.5 门罗币挖矿    

AppMiner下载的xmrig矿工(/etc/qiqapm,6个字符的随机文件名)运行后便删除自身,其采用与早期版本相同的挖矿进程名[card0-crtc0]。如下是其挖矿时的截图信息:

AppMiner新变种采用c3pool矿池,挖矿收益约5XMR,感染近400台主机。

附录 IOC

C2: 

www[.]hellkaluyou.top

MD5:

6392a38d40c8ec0e80b9449ae6358c4b

7d7075e6b9a5a5ad36b4627567feadc7

8d2f33f064453ed41999c058ac702452

858494af949b7dad69729ff243c54cb9

813bb1a38d50bcd5bef8d91a3b578017

矿池:

auto[.]c3pool.org:443

auto[.]c3pool.org:80

47[.]243.167.150:443

auto[.]c3pool.org:19999

钱包地址:

84Q498z9XexF8nnbUmvjiFS94k2DYRadA754zB7Xka551dCcnAQQgW9RUE8NfCbiGEMsJHMXWFJ5zWGeUYRYsVtZBB8VYWb

参考

SupermanMiner挖矿木马新变种持续活跃

https://cert.360.cn/warning/detail?id=65deee7fc09f255b91b17e0f)

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2