一、样本概览
该样本是一个针对 Linux 系统的恶意可执行文件(ELF 32-bit),文件大小为 4.18 MB。根据沙箱分析结果,其威胁分类为“可疑软件”,且属于著名的挖矿木马家族——SusMiner。
l首次提交时间: 2021年07月12日
l最近一次分析时间: 2025年12月17日
l分析环境: Linux (Ubuntu 17.04 64bit, CentOS 7.0 64bit)
l引擎检出率: 11/28 (部分杀毒引擎已能识别)
二、行为分析
根据微步在线沙箱的详细行为记录,该样本的主要活动如下:
1. 高危持久化行为
沙箱检测到一个高危行为:写入 crontab 条目。
操作内容:样本通过系统调用 write 向 /etc/crontab 文件写入了一条定时任务。
具体条目:
目的:这是典型的持久化技术。该条目会指示系统在每小时的第0分钟以 root 用户身份执行该样本,确保即使系统重启或进程被杀死,木马也能自动重新运行,从而实现长期驻留。
2. 威胁情报关联
样本的行为与已知的威胁情报(IOC)高度匹配:
关联域名: xmr.crypto-pool.fr
情报判定:“恶意”
情报内容:“可疑”、“公共矿池”
这表明该样本试图连接到一个名为 xmr.crypto-pool.fr 的公共门罗币(XMR)矿池。这是挖矿木马的核心功能,用于将受感染主机的算力贡献给攻击者的钱包地址。
3. 系统敏感操作
样本执行了多项敏感的系统级操作,旨在隐藏自身并获取系统控制权:
修改文件权限:修改自身或相关文件的权限,可能为了防止被删除或便于执行。
重定向输出:将标准输出和错误输出重定向到 /dev/null,以此隐藏其运行时产生的日志和错误信息,避免引起管理员注意。
资源探测:通过读取 /proc 和 /sys 文件系统来获取 CPU、内存等硬件信息,以便调整挖矿强度或判断是否在虚拟机中运行。
静态链接:样本是静态链接的,这意味着它包含了所有依赖的库,无需依赖系统环境即可运行,增加了其跨平台部署的能力。
4. 可疑行为与信息搜集
数据压缩:样本使用 UPX 工具进行了加壳压缩,这是一种常见的规避安全软件检测的技术。
信息搜集:读取网络配置和用户数据,用于生成唯一的主机标识符或进行环境判断。
三、威胁评估
综合以上分析,该样本是一个具备强大持久化能力和隐蔽性的 SusMiner 家族挖矿木马。
目的:一旦成功入侵,它会利用受感染主机的CPU资源进行门罗币(XMR)挖矿,导致服务器负载过高、性能下降、电费激增,并可能成为攻击者进一步渗透内网的跳板。
危害等级:高危。它不仅消耗系统资源,还可能下载其他恶意软件,对主机安全构成持续性威胁。
传播方式:可能通过SSH爆破、Web应用漏洞(如未修复的RCE)、或供应链攻击等方式进入企业内网。
四、处置建议
为了有效清除该木马并防止再次感染,请立即采取以下措施:
1. 立即隔离与清除
断网隔离:立即将受感染主机从网络中物理隔离,切断其与矿池 xmr.crypto-pool.fr 的通信。
终止进程:使用 ps aux | grep work32 或 top 命令找到样本进程,然后使用 kill -9 <PID> 强制终止。
删除文件:手动删除样本文件 /usr/work/7f28b2791ad94a202eea5e4c91d47cdeadca4723723427af574519f8aedbf15e。
清理计划任务:编辑 /etc/crontab 文件,删除其中包含该样本路径的行。
2. 清理残留与加固
检查其他目录:在 /tmp、/var/tmp、/dev/shm 等临时目录中查找是否有其他可疑文件。
更新系统:确保系统和所有软件包都已更新至最新版本,修复已知漏洞。
加强SSH安全: 禁用密码登录,强制使用密钥认证;修改默认SSH端口;设置强密码策略。
3. 网络层面防御
防火墙策略:在网络边界防火墙或主机防火墙上,阻止所有对外访问 xmr.crypto-pool.fr 及其IP地址的流量。
DNS过滤: 在内部DNS服务器上,将 xmr.crypto-pool.fr 解析到本地回环地址 127.0.0.1 或黑洞地址,以阻断其通信。
4. 全网扫描与监控
全网扫描:使用终端安全防护软件或EDR工具,对全网所有Linux主机进行深度扫描,查找是否存在相同或相似的恶意文件。
日志审计:检查系统日志(/var/log/messages, /var/log/secure)和安全事件日志,追溯该样本的初始入侵途径。
行为监控:部署网络流量分析(NTA)或EDR系统,持续监控是否有异常进程、可疑的网络连接或权限提升行为。
发表评论
您还未登录,请先登录。
登录