Part 01
Cleanfad挖矿木马是什么?
Cleanfad挖矿木马最早活跃于2021年初,利用Docker Remote Api未授权命令执行漏洞入侵云主机,攻击成功后会投递挖矿木马,并在被控系统部署扫描工具,继而利用ssh爆破、Redis未授权写入计划任务等方式呈蠕虫式传播持续进行蠕虫化扩散。
Part 02
分析回溯
贯众安全实验室专家对整个入侵攻击流程进行了分析,攻击者入侵投递过程和之前手法相同,入侵成功后分别投递init.sh、is.sh、rs.sh三个恶意sh脚本,入侵流程图如下:
图1 攻击入侵流程图
2.1 init.sh恶意sh脚本主要操作
(1)关闭主机运行的阿里云、EDR及aegis等安全防护进程。
图2 关闭安全防护进程
(2)清除其它竞品挖矿木马,包括kdevtmpfsi、kinsing及xmrig等常见挖矿家族木马进程。
图3 关闭竞品挖矿木马
(3)对ps,top,pstree系统工具进行重命名和替换,实现挖矿进程隐藏。
图4 修改系统指令,隐藏挖矿进程
(4)设置免密登陆后门,并通过配置crontab计划任务进行木马持久化。
图5 留下后门并持久化木马
(5)下载并运行挖矿木马。
图6 下载并运行挖矿进程
2.2 is.sh和rs.sh恶意sh脚本主要操作
is.sh恶意sh脚本主要用于下载并安装扫描工具Masscan或Pnscan。
图7 下载扫描工具
rs.sh恶意sh脚本主要利用下载好的扫描工具,进行蠕虫式横向扩散,传播挖矿木马。
图8 蠕虫式横向传播
Part 03
Cleanfad挖矿木马防护方案
智慧家庭运营中心贯众安全实验室的挖矿治理解决方案由全网安全运营、威胁分析平台、终端管控三大功能模块组成,具备全面的安全服务资质,能够做到“挖矿流量能检测”、“挖矿主机能看到”、“全网态势能感知”及“事后可追溯”,同时对于疑似存在挖矿行为的主机,提供木马排查、安全加固等安全应急响应服务。
针对本次变种Cleanfad挖矿木马事件,实验室给出处置建议和加固方案如下:
- 处置建议
(1)结束挖矿进程 zzh 扫描工具 pnscan和 masscan;
(2)删除以下目录及目录下全部文件 /tmp/zzh,/tmp/newinit.sh,/etc/zzh和/etc/newinit.sh;
(3)清除持久化项,crontab中包含*init*的全部定时任务;
(4)清除遗留shh免密登陆后门,~/.ssh/authorized_keys中恶意写入的登陆秘钥。
- 安全加固方案
(1)Redis及ssh服务避免设置弱口令,尽量不暴露在公网上;
(2)定期进行漏洞扫描,及时修复组件漏洞。
Part 04
结语
2021年9月24日国家发改委、财政部、央行等11部门联合发布《关于整治虚拟货币“挖矿”活动的通知》以来,虽然挖矿活动频次显著降低,但仍有不少不法黑客团伙为了经济利益入侵主机进行挖矿活动,甚至攻击手段愈发隐蔽和高级。基于中国移动丰富的大网资源,智慧家庭运营中心贯众安全实验室对全网挖矿告警集中安全分析,可实现挖矿威胁的发现、研判、处置的全流程线上可视化追踪,及时掌握全网挖矿安全态势,有效治理“挖矿,保障网络安全。
附:IOC信息