這篇文章主要講解了“如何查殺StartMiner新型變種”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“如何查殺StartMiner新型變種”吧！

網(wǎng)站建設(shè)公司,為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計(jì)及定制網(wǎng)站建設(shè)服務(wù),專注于成都定制網(wǎng)站,高端網(wǎng)頁制作,對(duì)成都辦公空間設(shè)計(jì)等多個(gè)行業(yè)擁有豐富的網(wǎng)站建設(shè)經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。專業(yè)網(wǎng)站設(shè)計(jì),網(wǎng)站優(yōu)化推廣哪家好,專業(yè)網(wǎng)站推廣優(yōu)化,H5建站,響應(yīng)式網(wǎng)站。

背景概述

近日，深信服安全團(tuán)隊(duì)捕獲到StartMiner新型變種，該變種新增了結(jié)束殺軟防護(hù)模塊，并添加了更多的駐留項(xiàng)防止查殺，C2地址變更為bash.givemexyz.in。

該木馬通過在服務(wù)器上創(chuàng)建多個(gè)定時(shí)任務(wù)、多個(gè)路徑釋放功能模塊的方式進(jìn)行駐留，并存在SSH暴力破解模塊，下載并運(yùn)行開源挖礦程序。

感染現(xiàn)象

通過$top發(fā)現(xiàn)進(jìn)程dbused或dbusex高CPU占用；

通過$ps aux查看有bash和python進(jìn)程從惡意域名上下載腳本執(zhí)行；

通過$tail -f /var/log/syslog可以看到執(zhí)行可疑命令：

駐留項(xiàng)

添加4個(gè)駐留項(xiàng)如下：

（1）bash啟動(dòng)項(xiàng) ~/.bash_profile

在打開終端時(shí)將會(huì)執(zhí)行該挖礦木馬，注意需要到對(duì)應(yīng)用戶目錄下清理bash_profile

cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null

（2）crontab計(jì)劃任務(wù)

第一個(gè)計(jì)劃任務(wù)為下載腳本執(zhí)行

可能創(chuàng)建的crontab包括

/etc/cron.d/ngnix & apache/etc/cron.hourly & daily & weekly & monthly/var/spool/cron/var/spool/cron/crontabs

查詢得到計(jì)劃任務(wù)如下：

另一個(gè)計(jì)劃任務(wù)pwnrig則是直接啟動(dòng)挖礦進(jìn)程：

（3）rc.d

（4）init.d

（5）系統(tǒng)服務(wù)

木馬行為

該木馬入侵主機(jī)后將在bash.givemexyz.in上下載shell腳本xms以及python腳本bb.py并執(zhí)行。備用域名為bash.givemexyz.xyz，若無DNS無法解析則鏈接備用地址205.185.113.12，194.156.99.30進(jìn)行下載。

xms腳本執(zhí)行流程如下：

（1）篩選并結(jié)束現(xiàn)有的挖礦進(jìn)程；

（2）結(jié)束殺軟等防護(hù)（相關(guān)代碼被注釋，功能未開啟）；

（3）在ssh的known_hosts中嘗試連接其他主機(jī)（若已配置ssh免密登錄則會(huì)擴(kuò)散）；

（4）清空原有計(jì)劃任務(wù)，寫入新的計(jì)劃任務(wù)；

（5）下載、校驗(yàn)、執(zhí)行挖礦程序；

（6）下載SSH掃描爆破組件并執(zhí)行；

（7）執(zhí)行木馬文件2start.jpg和xms。

bb.py腳本是根據(jù)系統(tǒng)平臺(tái)類型下載對(duì)應(yīng)的挖礦程序。

處置方法

（1）刪除以下文件

/bin/bprofr

/bin/sysdr

/bin/crondr

/bin/initdr

/usr/bin/bprofr

/usr/bin/sysdr

/usr/bin/crondr

/usr/bin/initdr

/tmp/dbused

/tmp/dbusex

/tmp/xms

/tmp/x86_64

/tmp/i686

/tmp/go

/tmp/x64b

/tmp/x32b

/tmp/2start.jpg

# SSH傳播

/tmp/sshcheck

/tmp/ssh_vuln.txt

/tmp/scan.log

/tmp/ip192.txt

/tmp/hxx

/tmp/p

/tmp/scan

/tmp/masscan

/tmp/.dat

/tmp/.checking

/tmp/good.tar.gz

/tmp/sshexec

/tmp/sshpass

/tmp/sparte.txt

（2）清理計(jì)劃任務(wù)、bash_profile、rc*.d、init.d、service包含惡意文件的啟動(dòng)項(xiàng);

過濾并刪除包含dbused、dbusex的啟動(dòng)項(xiàng);

過濾并刪除包含bprofr、sysdr、crondr、initdr相關(guān)的啟動(dòng)項(xiàng);

（3）結(jié)束相關(guān)進(jìn)程

過濾并結(jié)束包含givemexyz、198.98.57.217、194.156.99.30的進(jìn)程;

過濾并結(jié)束包含dbused、dbusex的進(jìn)程;

過濾并結(jié)束包含lwp_download的進(jìn)程（注意是否有正常任務(wù)使用lwp_download）

IOC

bash[.]givemexyz.in

bash[.]givemexyz.xyz

205[.]185.113.12

194[.]156.99.30

感謝各位的閱讀，以上就是“如何查殺StartMiner新型變種”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)如何查殺StartMiner新型變種這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！