正文

病毒感染特征

1. root目录下存在文件.goberge,.A_MESSAGE_FOR_YOU_MY_DUDE
2. root 的 ssh 连接密码被更改
3. 根目录下存在colette链接文件,位置为/usr/bin/java
4. 存在可疑任务计划
5. 存在可疑进程
6. 部分机器存在可疑docker,但均未开启
7. 部分机器命令行执行命令后会提示:you have a new mail

病毒逆向行为分析:

由于这是一个 jar 病毒,用 java 编写,所以逆向难度不大.使用工具 jd-gui 即可完成分析.

目录结构

以下多个行为我将分开阐述:

爆破 ssh 密码

ssh

判断linux 版本

linux

修改 ssh 密码

修改密码

这个就很灵性,由于它改的密码是同一个而非随机,所以我可以利用这个密码找到内网中所有受感染的机器!(聪明)

相关文件的创建,复制

没有java它给你装一个

装java

通过sftp将相关文件上传至受害机器

传文件

将java软连接至根目录

软连接

修改任务计划达到自启动

任务计划

安装 docker 并启动挖矿

受害者不一定有docker,所以给它装一个就好啦!

dockerinstall

然后执行 xmrig 的挖矿命令,挖门罗币

docker

删除历史操作记录

删除历史

检测是否运行

被感染的服务器会开放 45653 端口

检测运行

清除手段

1. passwd命令修改密码为强密码

2. crontab -l确认任务计划只有

   * * * * nice -10 /colette -Xms8m -Xmx32m -jar /root/.goberge 0 1>.loggeded此时可以使用crontab -r清除。如果存在多个计划，使用crontab -e删除单个计划

3. rm -f /colette删除根目录下的colette文件

4. 使用 ps -ef|grep goberge|grep -v grep|awk '{print $2}'|xargs kill -9清理进程

5. 删除root目录下的病毒文件rm -f /root/.goberge /root/.A_MESSAGE_FOR_YOU_MY_DUDE /root/.goberge.db /root/.goberge.db.p /root/.goberge.db.t

6. docker rm 恶意容器ID

IOC

md5

文件名	md5
.goberge	1af4a8fea00680cebac1857a841a1491
.A_MESSAGE_FOR_YOU_MY_DUDE	e900642b889298d12b5db28cf1bd8fc6

url

github.com/xmrig/xmrig

sg.minexmr.com:5555

钱包地址

45RHwdt6YfEgK3oUcZRHoM7zMnSftrXBBDGAgZs6pcDrG7mFQSz3q49Zn9FecXHoLsTUuNEuVqrshKyBJgQ8VfVaBYA7b7v

Signed

Huguette Payet

后记

该病毒仅做到了内网自动传播，并无实质性危害.攻击者甚至留下了这样一段话：

yo my man, i am sorry of the worm i am super broke my dude, thats why I made this worm. sorry for the inconvenience. you just need to remove the file and that's it, its not a bad worm. at this very moment i dont even know if this will work as intended lol. there should be no struggle at all to remove this botnet my dude, no stress, just chattr -i the .jar file before deleting it, the other botnets in your machine is not my fault, this worm even try to clean them. feel free to reverse engineer the jar file to change the monero pubkey in it if you're broke too. use a stronger password and have a great day. Signed : Huguette Payet";

1. 企业安全在对内网隔离这方面一定要做好.测试机网段不能访问办公机网段,测试机网段间也不应该相互连通.
2. 做到人机合一,分配的虚拟机必须要记录对应的负责人.时至今日,仍有多台感染虚拟机无法找到直接负责人.
3. 弱口令的问题(员工安全意识培训)要在企业的安全建设中排在前列.毕竟人才是最大的漏洞.

声明

本文仅供学习交流，如作他用所承受的法律责任一概与作者无关