警惕！8220挖矿团伙重磅来袭，多家企业集群主机已中招

1、挖矿文件目录分析

挖矿目录内容文件如下图：

A.x脚本：

x脚本作为入口点，在后台启动a脚本。

B.a脚本：

a脚本首先会删除其他挖矿程序配置文件。然后创建计划任务执行upd脚本，并在之后创建upx脚本，维持run脚本的执行。

C.run脚本：

run脚本首先查找并杀死CPU占用率超过 40% 的进程。根据不同的架构使用隐藏进程工具XHide隐藏执行挖矿程序（java），将挖矿程序的进程ID写入bash.pid文件。

D.upd脚本：

upd是a脚本创建用作位置挖矿程序持久运行的脚本，它会定期检查挖矿进程是否仍在运行，如果没有，它会重新执行run脚本以启动挖矿进程。

E.隐藏进程黑客工具Xhide（h64/h32）：

XHide是一个用于隐藏和伪装Linux系统上进程名称的工具，-s指定伪装的进程名称。

F. XMRig挖矿软件(java)：

XMRig是一款高性能的开源加密货币挖矿软件，主要用于挖掘 Monero（XMR）和其他基于 CryptoNight 算法的加密货币。

2、Rootkit(bdvl)分析

bdvl 是一个GitHub上的项目，全名为bedevil，是一个Linux用户模式根植入工具（Userland Rootkit）。它通过修改Linux操作系统的运行时库（例如 glibc）来实现隐藏恶意程序的目的，以便逃避系统管理员和安全工具的检测。此外，bdvl还可以用于窃取系统信息、记录用户活动、控制系统资源等。

该项目的主要功能包括：

A. 文件和进程隐藏：通过修改系统函数，bdvl可以让恶意进程和文件对正常用户和管理员不可见。

B. 系统登录窃取：bdvl能记录系统登录信息，例如用户名和密码，方便攻击者获取更多权限。

C. 反取证：bdvl会隐藏其自身的痕迹，使系统管理员难以发现和定位其存在。

D. 权限提升：该项目支持通过不同的方法提升权限，以便攻击者更容易地控制受感染的系统。

E. 远程访问：bdvl具有远程访问和控制功能，这使得攻击者可以在远程对受感染系统进行操作。

通过对比攻击者使用的bdvl文件样本与Github上的bdvl源码，发现攻击者自定义了用户名为uadmin，其他配置均为默认配置，安恒信息CERT团队已掌握清除该Rootkit方法。

3、XMRig-proxy (mp)分析

在应急响应过程中，我们发现该攻击团队针对内网中无法访问互联网的主机，使用名为mp 的挖矿代理工具进行加密货币挖矿。XMRig-proxy 是一款高性能的加密货币挖矿代理，它是为 Monero（XMR）和其他基于 CryptoNight算法的加密货币设计的。它主要作为一个中间层，将多个挖矿客户端（如 XMRig 等）连接到挖矿池。

4、SSHD后门部署工具（2023.gif）

2023.gif 是一个包含用于部署 SSHD后门的压缩文件。其中，i是用于启动部署该后门的初始程序。SSHD后门通过修改或替换目标系统中的SSHD二进制文件或库文件，以插入恶意代码的一种攻击手段。这种后门具有隐蔽性，通常很难被系统管理员发现。

5、Spirit暴力破解工具（Spirit）

Spirit是一款用于批量测试SSH弱密码的订阅式工具，需要购买license使用。它能够自动执行网络扫描、解析扫描结果、获取 SSH 服务的 banner、进行暴力破解和执行命令等操作。

6、Tsunami IRC僵尸网络（kwk）

Kwk经过分析为Tsunami家族的IRC远控程序，是流行的僵尸网络程序家族。该程序的C2服务器与受控主机之间通过IRC协议进行控制和通信，其功能包括远程控制、DDoS攻击和其他恶意行为。

7、global socke（gs-dbus）

使用UPX3.6加壳保护，脱壳处理后经对比发现，样本为开源工具Global Socket。Global Socket旨在允许不同专用网络上的两个工作站相互通信。绕过防火墙和NAT技术。包含端口转发、远程shell等多个功能。

代码比对发现本次分析样本与开源项目存在相同逻辑控制函数，图左为本次分析样本，图右为GitHub开源项目Global Socket。

相同控制逻辑代码

相同的控制代码流程

1、保持系统和软件更新：定期更新操作系统和软件，尤其是安全补丁，以修复可能的漏洞，防止攻击者利用已知漏洞进行入侵。

2、强化账户安全：使用强密码，并定期更换。启用两步验证（2FA）以增加安全性。对SSH公钥进行审计，以防未经授权的公钥被添加。

3、限制网络访问：限制公网对内部网络的访问，仅允许必要的端口和服务。同时，应用最小权限原则，限制用户和应用程序的访问权限。

4、监控和审计日志：定期审查系统和应用日志，以检测可疑活动。对异常登录行为进行报警，并采取相应措施。

5、部署入侵检测和防御系统：使用入侵检测系统（IDS）和入侵防御系统（IPS）来监控网络流量，检测可疑行为，并采取相应措施。

6、防范横向移动：对内部网络进行分段，以限制攻击者在网络内部的横向移动。确保内部网络间的通信是加密和安全的。

7、定期安全评估：定期进行安全评估和渗透测试，以发现潜在的安全漏洞和风险。

8、培训员工安全意识：提高员工对网络安全的认识，确保他们能识别并避免网络钓鱼、恶意软件等安全威胁。

9、建立应急响应计划：制定针对安全事件的应急响应计划，确保在发生安全事件时能够迅速、有效地应对，降低损失。

10、使用安全工具：部署防病毒软件、端点保护平台（EPP）和其他安全工具，以防止恶意软件和攻击的传播。