正文

病毒感染特征

1. root目錄下存在文件.goberge,.A_MESSAGE_FOR_YOU_MY_DUDE
2. root 的 ssh 連接密碼被更改
3. 根目錄下存在colette鏈接文件,位置為/usr/bin/java
4. 存在可疑任務(wù)計(jì)劃
5. 存在可疑進(jìn)程
6. 部分機(jī)器存在可疑docker,但均未開(kāi)啟
7. 部分機(jī)器命令行執(zhí)行命令后會(huì)提示:you have a new mail

病毒逆向行為分析:

由于這是一個(gè) jar 病毒,用 java 編寫(xiě),所以逆向難度不大.使用工具 jd-gui 即可完成分析.

目錄結(jié)構(gòu)

以下多個(gè)行為我將分開(kāi)闡述:

爆破 ssh 密碼

ssh

判斷l(xiāng)inux 版本

linux

修改 ssh 密碼

修改密碼

這個(gè)就很靈性,由于它改的密碼是同一個(gè)而非隨機(jī),所以我可以利用這個(gè)密碼找到內(nèi)網(wǎng)中所有受感染的機(jī)器!(聰明)

相關(guān)文件的創(chuàng)建,復(fù)制

沒(méi)有java它給你裝一個(gè)

裝java

通過(guò)sftp將相關(guān)文件上傳至受害機(jī)器

傳文件

將java軟連接至根目錄

軟連接

修改任務(wù)計(jì)劃達(dá)到自啟動(dòng)

任務(wù)計(jì)劃

安裝 docker 并啟動(dòng)挖礦

受害者不一定有docker,所以給它裝一個(gè)就好啦!

dockerinstall

然后執(zhí)行 xmrig 的挖礦命令,挖門(mén)羅幣

docker

刪除歷史操作記錄

刪除歷史

檢測(cè)是否運(yùn)行

被感染的服務(wù)器會(huì)開(kāi)放 45653 端口

檢測(cè)運(yùn)行

清除手段

1. passwd命令修改密碼為強(qiáng)密碼

2. crontab -l確認(rèn)任務(wù)計(jì)劃只有

   * * * * nice -10 /colette -Xms8m -Xmx32m -jar /root/.goberge 0 1>.loggeded此時(shí)可以使用crontab -r清除。如果存在多個(gè)計(jì)劃，使用crontab -e刪除單個(gè)計(jì)劃

3. rm -f /colette刪除根目錄下的colette文件

4. 使用 ps -ef|grep goberge|grep -v grep|awk '{print $2}'|xargs kill -9清理進(jìn)程

5. 刪除root目錄下的病毒文件rm -f /root/.goberge /root/.A_MESSAGE_FOR_YOU_MY_DUDE /root/.goberge.db /root/.goberge.db.p /root/.goberge.db.t

6. docker rm 惡意容器ID

IOC

md5

url

github.com/xmrig/xmrig

sg.minexmr.com:5555

錢(qián)包地址

45RHwdt6YfEgK3oUcZRHoM7zMnSftrXBBDGAgZs6pcDrG7mFQSz3q49Zn9FecXHoLsTUuNEuVqrshKyBJgQ8VfVaBYA7b7v

Signed

Huguette Payet

后記

該病毒僅做到了內(nèi)網(wǎng)自動(dòng)傳播，并無(wú)實(shí)質(zhì)性危害.攻擊者甚至留下了這樣一段話：

yo my man, i am sorry of the worm i am super broke my dude, thats why I made this worm. sorry for the inconvenience. you just need to remove the file and that's it, its not a bad worm. at this very moment i dont even know if this will work as intended lol. there should be no struggle at all to remove this botnet my dude, no stress, just chattr -i the .jar file before deleting it, the other botnets in your machine is not my fault, this worm even try to clean them. feel free to reverse engineer the jar file to change the monero pubkey in it if you're broke too. use a stronger password and have a great day. Signed : Huguette Payet";

1. 企業(yè)安全在對(duì)內(nèi)網(wǎng)隔離這方面一定要做好.測(cè)試機(jī)網(wǎng)段不能訪問(wèn)辦公機(jī)網(wǎng)段,測(cè)試機(jī)網(wǎng)段間也不應(yīng)該相互連通.
2. 做到人機(jī)合一,分配的虛擬機(jī)必須要記錄對(duì)應(yīng)的負(fù)責(zé)人.時(shí)至今日,仍有多臺(tái)感染虛擬機(jī)無(wú)法找到直接負(fù)責(zé)人.
3. 弱口令的問(wèn)題(員工安全意識(shí)培訓(xùn))要在企業(yè)的安全建設(shè)中排在前列.畢竟人才是最大的漏洞.

聲明

本文僅供學(xué)習(xí)交流，如作他用所承受的法律責(zé)任一概與作者無(wú)關(guān)