DDG僵尸网络频繁更新攻击Linux系统挖矿

2020-04-02 15:10:43
DDG僵尸网络主要通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。病毒的挖矿行为会对服务器性能产生极大影响。

一、概述

DDG僵尸网络最早出现于2017年, 主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)

DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.shquartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。

病毒的挖矿行为会对服务器性能产生极大影响,腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。

二、详细分析

1.DDG挖矿木马频繁更新

DDG挖矿木马更新频繁,最近一次更新是在331日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(227-331),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)

DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname -m)

其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。

                  

2.下发配置文件

DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpressmd5, ddg最新的更新地址,病毒脚本

i.sh下载地址等信息。


3.病毒脚本i.sh

下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有:

(1)  创建定时任务,15分钟执行一次,定时任务主要内容是下载执行  i.sh

(2)  下载更新最新版的DDG病毒,目前已更新到DDG/5023版本

(3)  结束旧版本的木马进程。  


4.卸载云服务器安防产品

最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现自保护。


5.hosts文件屏蔽竞争木马的网址

修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下

6.挖矿木马wordpress

下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。


挖矿时使用矿池:

178.128.108.158:443

103.195.4.139:443

68.183.182.120:443 


安全建议:

1.Redis添加强密码验证,切勿使用弱口令;

2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复;   

3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上;

4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。  


IOCS:

Md5:

DDG(5015-5023)

e64b247d4cd9f8c58aedc708c822e84b

2c4b9d01d2f244bb6530b48df99d04ae

d2a81a0284cdf5280103bee06d5fe928

495dfc4ba85fac2a93e7b3f19d12ea7d

682f839c1097af5fae75e0c5c39fa054

dc87e9c91503cc8f2e8e3249cd0b52d7

c8b416b148d461334ae52aa75c5bfa79

f84a0180ebf1596df4e8e8b8cfcedf63

14fcb1d3a0f6ecea9e18eff2016bc271


挖矿木马:

d146612bed765ba32200e0f97d0330c8


i.sh:

bceb6cbb2657e9a04b6527161ba931d8


Ip

67.205.168.20

47.94.153.241

61.129.51.79
47.101.35.209


矿池:

178.128.108.158:443

103.195.4.139:443

68.183.182.120:443


参考链接:

DDG挖矿僵尸网络利用SSH弱口令爆破攻击Linux服务器


最新资讯