【安全通告】警惕！Linux挖矿病毒StartMiner最新变种来袭

安全通告
StartMiner挖矿病毒最早于今年2月被发现，由于其进程及定时任务中包含2start.jpg字符串而得名，该病毒通过ssh进行传播，其特点是会创建多个包含2start.jpg字符串的恶意定时任务。亚信安全对该挖矿病毒进行持续追踪发现，近期该挖矿病毒较为活跃，出现频繁更新，不断更换C&C站点。亚信安全截获了StartMiner挖矿病毒最新变种，该变种终止其它挖矿进程，创建多个定时任务，下载执行挖矿及Tsunami僵尸网络。

攻击流程
病毒感染现象
可疑进程：

可疑定时任务：

2start.jpg分析
停止部分调用特殊端口的进程和其它挖矿程序。

创建\写入定时任务：

判断是否存在Known_hosts和SSH公钥，如存在则遍历known_hosts中的IP地址并连接，同时执行恶意进程。除了执行2start.jpg外，其还会下载执行hxxp[：]//107[.]189[.]11[.]170/d.py，同时，在SSH时，会调用-oStrictHostKeyChecking=no参数以修改ssh_config。

downloadIfNeed函数，判断/tmp/x86_64是否存在，不存在则执行download函数；如果存在但是MD5校验错误，同样执行download函数。此外，其会计算下载前后的MD5及文件大小并写入到tmp/tmp.txt文件。

Download函数，校验/tmp/x86_643文件MD5，如果正常则拷贝至/tmp/x86_64；如果错误则执行download2函数。

Download2函数，从多个URL下载样本(x86_64、i686、go)至本地/tmp目录，完成后校验/tmp/x86_64的MD5值，如果正常则拷贝至/tmp/x86_643。

judge函数，判断网络连接中是否存在与134.122.17.13：8080的连接，如果不存在则执行如下操作：

• 中止所有CPU>30的进程；
  
• 执行downloadIfNeed函数；
  
• 从多个URL下载样本(x86_64、i686、go)至本地/tmp目录；
  
• 增加文件执行权限并运行go文件；
  
• 解密运行Base64加密的python脚本。
  

Judge2函数，判断进程中是否有dbused或dbusted名称的进程，如果没有则执行如下操作：

• downloadIfNeed函数；
  
• 从多个URL下载样本(x86_64、i686、go)至本地/tmp目录；
  
• 增加文件执行权限并运行go文件；
  
• 解密运行Base64加密的python脚本。
  

判断是否存在与134.122.17.13：8080的连接，如果不存在则执行judge函数，存在则执行judge2函数。

判断是否存在与104.244.75.25：443的连接，如果不存在则根据位数下载x64b/x32b样本；保存到/tmp，提升文件权限并执行。

恶意定时任务，查询Crontab中是否存在107.189.11.170字符串，如果不存在则先清空Crontab并写入恶意定时任务，以定期下载执行2start.jpg。2start.jpg的所有逻辑执行完毕后，删除/tmp/2start.jpg。

Go.sh分析
新建一个bash文件/tmp/dbusted，用于拷贝x86_64至/tmp/.dbusted/dbusted，执行并删除。

D.py分析
D.py根据位数下载对应样本，并执行d.py、b.py和go2.sh。

B.py分析
B.py下载并执行x64b或x32b样本，内容为Tsunami僵尸后门程序，亚信安全近期曾披露过关于该僵尸后门的相关情报。

ELF文件
X86_64和i686为Pwnrig挖矿程序，x64b\x32b为Tsunami僵尸网络木马，均已在之前的病毒通告中做过分析，在此不再重复。
手动清除方案
保存并执行以下bash：
#!/bin/bashrm -f /etc/cron.d/apache 2>/dev/nullrm -f /etc/cron.d/nginx 2>/dev/nullrm -f /etc/cron.d/root 2>/dev/nullrm -f /etc/cron.hourly/oanacroner1 2>/dev/nullcp /var/spool/cron/crontabs/root /root/root.crontab.bak 2>/dev/null cp /var/spool/cron/root /root/cron.bak 2>/dev/nullcat /dev/null >/var/spool/cron/crontabs/root 2>/dev/nullcat /dev/null >/var/spool/cron/root 2>/dev/nullrm -f /var/tmp/.xo 2>/dev/nullrm -f /var/tmp/x64b 2>/dev/nullrm -f /tmp/x86_64 2>/dev/nullrm -f /tmp/dbusted 2>/dev/null rm -f /tmp/i686 2>/dev/nullrm -f /var/tmp/hxx 2>/dev/nullrm -f /var/tmp/scan.log 2>/dev/nullrm -f /tmp/hxx 2>/dev/nullrm -f /var/tmp/dbusetd 2>/dev/nullrm -f /var/tmp/p 2>/dev/nullrm -f /var/tmp/.sh/x86_64 2>/dev/nullrm -f /var/tmp/x86_64 2>/dev/nullrm -f /var/tmp/i686 2>/dev/nullrm -f /var/tmp/go 2>/dev/nullrm -f /var/tmp/x86_643 2>/dev/nullrm -f /var/tmp/x32b 2>/dev/nullrm -f /var/tmp/ip.sh 2>/dev/nullrm -f /tmp/.sh/x86_64 2>/dev/nullrm -f /tmp/go 2>/dev/nullrm -f /tmp/x86_643 2>/dev/nullrm -f /tmp/x64b 2>/dev/nullrm -f /tmp/x32b 2>/dev/nullrm -f /tmp/ip.sh 2>/dev/nullrm -f /var/tmp/d.py 2>/dev/nullrm -f /var/tmp/2start.jpg 2>/dev/nullrm -f /tmp/d.py 2>/dev/nullrm -f /tmp/2start.jpg 2>/dev/nullrm -f /tmp/p 2>/dev/nullrm -f /tmp/masscan 2>/dev/nullrm -f /tmp/ips.sh 2>/dev/nullrm -f /var/tmp/sparte 2>/dev/nullrm -f /tmp/scan.log 2>/dev/nullchattr -ia /bin/bprofr 2>/dev/nullchattr -ia /bin/crondr 2>/dev/nullchattr -ia /bin/initdr 2>/dev/nullrm -f /bin/initdr 2>/dev/nullrm -f /bin/crondr 2>/dev/nullrm -f /bin/bprofr 2>/dev/nullchattr -ia ~/.bash_profile 2>/dev/nullcp ~/.bash_profile ~/.bash_profile.bak 2>/dev/nullsed -i '/dbused/d' ~/.bash_profile 2>/dev/nullps aux|grep dbused|grep -v grep|awk '{print $2}'|xargs kill -19 2>/dev/nullps aux|grep hxx|grep -v grep|awk '{print $2}'|xargs kill -19 2>/dev/nullps aux|grep "107.189"|grep -v grep|awk '{print $2}'|xargs kill -19 2>/dev/null ps aux|grep "104.244"|grep -v grep|awk '{print $2}'|xargs kill -19 2>/dev/null ps aux|grep "/tmp/go"|grep -v grep|awk '{print $2}'|xargs kill -19 2>/dev/null ps aux|grep "/tmp/.xo"|grep -v grep|awk '{print $2}'|xargs kill -19 2>/dev/null ps aux|grep "107.189"|grep -v grep|awk '{print $2}'|xargs kill -9 2>/dev/null ps aux|grep "104.244"|grep -v grep|awk '{print $2}'|xargs kill -9 2>/dev/null ps aux|grep "/tmp/go"|grep -v grep|awk '{print $2}'|xargs kill -9 2>/dev/null ps aux|grep "/tmp/.xo"|grep -v grep|awk '{print $2}'|xargs kill -9 2>/dev/null ps aux|grep dbused|grep -v grep|awk '{print $2}'|xargs kill -9 2>/dev/nullps aux|grep hxx|grep -v grep|awk '{print $2}'|xargs kill -9 2>/dev/null 亚信安全教你如何防范

• 亚信安全病毒码版本15.985.60，云病毒码版本15.985.71，全球码版本15.985.00已经可以检测，请用户及时升级病毒码版本。
  
• 亚信安全深度威胁发现设备TDA可以侦测到此威胁相关内容：
  

IOCs
hxxp[：]//107[.]189[.]11[.]170/gohxxp[：]//107[.]189[.]11[.]170/go2hxxp[：]//107[.]189[.]11[.]170/d.pyHxxp[：]//107[.]189[.]11[.]170/b.pyhxxp[：]//107[.]189[.]11[.]170/2start.jpghxxp[：]//104[.]244[.]74[.]248/x86_64hxxp[：]//104[.]244[.]75[.]25/i686hxxp[：]//107[.]189[.]11[.]170/x64bhxxp[：]//107[.]189[.]11[.]170/x32bhxxp[：]//205[.]185[.]113[.]151/goHxxp[：]//205[.]185[.]113[.]151/i686Hxxp[：]//205[.]185[.]113[.]151/x86_64Hxxp[：]//205[.]185[.]113[.]151/x64bHxxp[：]//205[.]185[.]113[.]151/x32bHxxp[：]//205[.]185[.]113[.]151/xmiHxxp[：]//205[.]185[.]113[.]151/d.pyIDC最新报告：亚信安全持续领跑中国IT安全软件市场，身份和数字信任市场份额第一