背景概述

近日，深信服漏洞团队和终端安全团队联手通过信服云安全防护体系捕获一个针对云主机可以进行双系统挖矿的新型挖矿病毒，该病毒在入侵终端后会检测并结束终端的安全防护软件，具备一定的查杀对抗能力；且能够隐藏自身进行扫描攻击和挖矿。

根据威胁情报信息，该病毒文件关联的相关域名是在今年6月才进行创建的：

样本分析

执行流程：

1、启动脚本loader.sh

流程如下：

（1）清除安全软件

（2）下载kworkers并启动

（3）清空历史命令记录

2、启动程序kworker

Kworker程序的功能是检查并更新各功能组件，以及启动挖矿程序dbus、攻击程序autoUpdate、隐藏脚本hideproc.sh、攻击脚本sshkey.sh。

（1）下载hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json并检查

（2）配置文件内容，可以发现该挖矿支持windows和linux两个版本

（3）通过.{filename}_ver来标识文件版本

（4）校验.{filename}_ver文件后，结束原有进程，下载新文件并执行

(5) 启动的程序包括dbus、autoUpdate、hideproc.sh及sshkey.sh

3、扫描及攻击程序autoUpdate

扫描并攻击192.168.0.0/16网段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等组件、服务或协议漏洞，以及国内用户常用的泛微OA、致远OA、通达OA、phpcms、discuz等服务。

（1）检查并攻击structs2和shiro服务

shiro服务

struts2服务

（2）扫描内网的http和https服务，识别以下服务是否存在漏洞

（3）检查并攻击dubbo

下载dubbo.jar和配置文件check_lin.data，执行攻击；

执行dubbo攻击：

dubbo.jar文件是攻击测试程序，来自threedr3am的项目dubbo-exp

Dubbo反序列化一键快速攻击测试工具，支持dubbo协议和http协议，支持hessian反序列化和java原生反序列化。

配置文件check_len.data表明具体执行命令为下载loader.sh进行扩散；

（4）redis、mysql、postgres及smb

redis写入计划任务并执行

通过写入mysql服务的master.dbo.xp_cmdshell来执行恶意命令

Postgres恶意命令

smb恶意命令

4、进程隐藏脚本hideproc.sh

相关文件包括hideproc.sh、processhide.c及libc2.28.so；

其中hideprocess.sh脚本流程如下：

（1）安装编译环境

（2）下载processhide.c隐藏进程源文件

（3）将源文件编译生成libc2.28.so

（4）将libc2.28.so添加到系统的ld.so.preload文件，即启动挖矿进程时自动载入该链接库实现进程隐藏

5、攻击脚本sshkey.sh

该脚本尝试从bash_history、etc/hosts、ssh/kownhost及进程已有连接中提取该终端连接过的终端，如果可以成功连接则下载并启动脚本loader.sh。

入侵利用的漏洞和服务信息

相关漏洞信息

探测服务

深信服产品解决方案

【深信服EDR】深信服EDR集成SAVE人工智能检测引擎，拥有强大的泛化能力，可轻松查杀该病毒，建议及时升级最新版本，并接入安全云脑，使用云查服务及时检测防御新威胁，

【深信服下一代防火墙】可防御此次事件所使用的漏洞， 建议用户将深信服下一代防火墙开启 IPS 防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该次事件所使用的漏洞，并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。

【深信服安全云眼】深信服安全云眼针对此次事件所使用的漏洞已具备扫描能力，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜】深信服安全云眼针对此次事件所使用的漏洞已具备扫描能力，部署了云镜的用户可以快速检测网络中是否受该高危风险影响，避免被攻击者利用。

【深信服安全运营服务】通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。