記一次套路較深的雙家族挖礦事件應急響應

1.1 情況簡介

某日接到用戶電話，用戶某應用系統微信公眾號平臺服務器應用運行異常掉線卡頓，運維人員檢查后發現服務器存在占用大量CPU資源的惡意進程，且無法清除該進程，導致WEB應用服務無法正常運行。

接觸到的大多挖礦木馬事件，大多是因為影響到業務無法使用或明顯卡頓運維人員主動發現，說明仍有不少用戶缺乏內網安全態勢感知和安全事件告警處置流程。

1.2 分析結論

登錄服務器針對服務器進程、網絡進行檢查，確認服務器存在挖礦木馬進程且連接了礦池正在進行惡意挖礦行為。

根據該挖礦木馬的行為特征和文件特征，確定服務器上存在兩個不同家族的挖礦木馬，分別為kdevtmpfsi和startMiner新型變種挖礦木馬。

通過對kdevtmpfsi木馬分析，發現該木馬存在守護進程無法直接刪除，需首先清除其守護進程kinsing，再對kdevtmpfsi木馬進程及其相關惡意文件進行清除。

重啟業務后發現kdevtmpfsi木馬再次啟動，對其進程進行追蹤發現挖礦木馬感染了weblogic啟動腳本文件，只要weblogic應用屬于啟動狀態，木馬會持續下載運行，清除weblogic中惡意代碼和惡意文件后，觀察2小時未發現挖礦木馬再次啟動。

通過對startMiner新型變種挖礦木馬分析，發現該木馬也無法直接刪除，該木馬利用了服務器大量的計劃任務和自啟動項服務達到長期駐留服務器的目的，且各個駐留程序相互交叉感染，需定位所有駐留程序編寫清除腳本一次性針對所有惡意駐留程序進行清除。

根據威脅情報以及木馬感染程序分析該木馬是通過SSH和weblogic傳播，檢查secure登錄日志發現11月2號至11月4號10點之間的日志為空，11月4日至今未發現爆破記錄，但服務器存在SSH公鑰，擁有私鑰的服務器可實現免密登錄，建議核實后刪除該公鑰。

1.3 應急處置

針對kdevtmpfsi木馬清除惡意程序文件/tmp/kdevtmpfsi、/var/tmp/ kdevtmpfsi、/etc/spool/cron/root、/home/weblogic/Oracle/Middleware/user_projects/domains/base_domain/bin下惡意文件以及惡意進程kdevtmpfsi、kinsing。

針對startMiner新型變種挖礦木馬，清除以下文件：

1.4 處理建議

根據本次應急響應分析和結論，處理建議如下：

病毒木馬一般會利用高危漏洞和弱口令進行橫向傳播感染，建議定期修改服務器賬號密碼，使用密碼復雜度較高的密碼，及時升級系統補丁和軟件版本，避免低版本系統和應用存在高危可利用漏洞。

持續觀察發現挖礦木馬同時感染了weblogic啟動腳本，建議針對weblogic進行升級加固，防止weblogic高危漏洞被再次利用感染病毒木馬，同時禁止使用root權限運行weblogic。

在無法增加安全設備的情況下加強安全巡檢力度，提升安全事件主動發現能力。病毒木馬若被動發現時一般已完成入侵和內網橫向傳播，若感染的是勒索病毒，可能會導致整個內網失陷和數據丟失。

通過舉辦安全意識培訓，提升運維人員和工作人員的安全意識，避免木馬病毒通過內部不安全操作感染。

2 異常分析過程

2.1 dbused木馬分析處理

2.1.1 分析過程

使用top命令實時查看服務器資源占用情況，發現存在兩個占用大量CPU資源的進程，分別為dbused和kdevtmpfsi進程。

查看dbused進程的網絡連接，發現連接了209.141.35.17的8080端口，通過查詢威脅情況發現，該IP為8220挖礦團隊礦池IP。

查看駐留程序生成時間，最近一次修改時間為11月4日上午10點15分。

查看secure登錄日志，發現大量針對自身賬號的爆破行為（此記錄應為挖礦程序自動化運行的行為）。且/tmp目錄下存在大量針對內網其他機器的爆破行為，建議針對圖中涉及的其他內網服務器進行安全巡檢，確認是否也被感染。

2.1.2 處理過程

由于該木馬生成大量駐留程序，無法手動逐個清理，以下為清理腳本，一鍵完成清除操作。（避免一個一個清除速度較慢，導致服務再次運行交叉感染）

駐留程序采用了附加屬性a i，無法直接rm刪除，需使用chattr命令去除附加屬性后rm刪除。

清除惡意進程及惡意文件命令如下

ps -ef | grep “givemexyz” | awk ‘{print $2}’| xargs pkill
ps -ef | grep “dbuse” | awk ‘{print $2}’| xargs pkill
rm -rf /bin/bprofr  /bin/sysdr  /bin/crondr  /bin/initdr  /usr/bin/bprofr  /usr/bin/sysdr  /usr/bin/crondr  /usr/bin/initdr  /tmp/dbused  /tmp/dbusex  /tmp/xms  /tmp/x86_64  /tmp/i686  /tmp/go  /tmp/x64b  /tmp/x32b  /tmp/2start.jpg

針對SSH公鑰進行備份刪除操作。

2.2 Kdevtmpfsi木馬分析處理

2.2.1 處理過程

查看kdevtmpfsi進程的網絡連接，發現同樣連接了礦池在進行挖礦，如下：

刪除惡意程序文件/tmp/kdevtmpfsi和/var/tmp/kinsing

刪除定時任務

刪除挖礦進程機器守護進程

服務器恢復正常。

本來以為事件到此可以寫報告交付了。誰知道第二天用戶又反饋應用無法打開了。尷尬到腳趾抓地。。。

第二天挖礦木馬重新啟動，查看進程發現是通過weblogic用戶進行程序下載和執行的。還好我留了個心眼。（第一次處理時應用方采用root用戶啟動的weblogic而挖礦程序也是使用root用戶運行的，處理過后建議他們使用weblogic用戶啟動weblogic中間件后發現此痕跡，進而判斷該挖礦程序是通過weblogic程序死灰復燃的）

檢查后發現weblogic啟動腳本被植入惡意代碼。如下所示

導致啟動業務時，挖礦木馬再次被下載至本地運行。如下所示：

經過與應用開發商核實，黃框以外的均為惡意文件。臨時備份刪除后并將startWeblogic.sh中惡意代碼清除，后續建議重新校驗weblogic應用文件的完整性，確保無其他未發現的挖礦木馬殘留文件。

刪除后weblogic路徑下惡意文件后，重啟weblogic觀察2小時左右未發現挖礦木馬再次運行。