如何解析基于Linux和Window雙平臺新型挖礦病毒

這期內容當中小編將會給大家帶來有關如何解析基于Linux和Window雙平臺新型挖礦病毒，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

這是一款近期非常流行的挖礦病毒，基于Linux和Windows雙平臺，主體程序都是使用GO語言進行編寫的，并通過多個漏洞進行傳播，估計國內已經有不少服務器被感染,筆者最近一段時間發現它更新了，并捕獲到它的最新的腳本,通過分析，下載服務器URL地址為：

https://us.gsearch.com.de/api/sysupdate

http://209.182.218.161:80/363A3EDC10A2930D/sysupdate

https://us.gsearch.com.de/api/update.sh

http://209.182.218.161:80/363A3EDC10A2930D/update.sh

https://us.gsearch.com.de/api/config.json

http://209.182.218.161:80/363A3EDC10A2930D/config.json

https://us.gsearch.com.de/api/networkservice

http://209.182.218.161:80/363A3EDC10A2930D/networkservice

https://us.gsearch.com.de/api/sysguard

http://209.182.218.161:80/363A3EDC10A2930D/sysguard

相應的配置文件挖礦地址和錢包地址，如下所示：

cryptonightr.usa.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.usa

cryptonightr.eu.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.eu

cryptonightr.jp.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.jp

cryptonightr.hk.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.hk

cryptonightr.br.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.br

cryptonightr.in.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.in

xmr.f2pool.com:13531

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.nice

腳本的功能主要是結束其它挖礦程序，然后從服務器上下載三個主要的程序:sysupdate、networkservice、sysguard，分別對這三個Linux下64位主程序進行詳細分析，

sysupdate詳細分析

sysupdate是門羅幣挖礦程序，如下所示：

版本號為：2.15.1-beta，如下所示：

加載config.json配置程序礦池和錢包地址等，如下所示：

開始挖礦，如下所示：

config.json配置文件信息，如下所示：

礦池地址：xmr.f2pool.com:13531

錢包地址：

84wSxADJuSCEPGu7FyRPa2UAgs2YkTad1izUTLWJNmyvNFLU9PpTnwYUCn66cSK5v6cfRAvDdxMzpPdirw6njjt5AcRwReU.xmrxmr2019

運行截圖如下所示：

捕獲到了網絡流量包，如下所示：

networkservice詳細分析

networkservice漏洞掃描傳播程序，如下所示：

1.初始化掃描IP地址段，如下所示：

從遠程服務器下載相應的IP段數據，服務器地址：https://23.175.0.142/api/download/I9RRye，下載回來的IP地址段是數字整型，文件名為ips_cn.txt，如下所示：

數字轉化為IP地址，如下所示：

16909568 16909823      -->  1.2.5.0  1.2.5.255

737878016 737879039    -->  43.251.32.0 43.251.35.255

1733261312 1733262335  -->  103.79.120.0 103.79.123.255

2525131776 2525132799  -->  150.130.116.0 150.130.119.255

3670879488 3670879999  -->  218.205.45.0 218.205.46.255

2.從內存中解密出相應的PowerShell腳本，如下所示：

解密出來的PowerShell腳本地址http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/init.ps1，如下所示：

可以在windows執行相應的傳播、挖礦程序，如下所示：

3.創建計劃任務，進行更新操作，如下所示：

4.更新執行挖礦程序，如下所示：

5.執行掃描、傳播程序，如下所示：

6.同時還可以下載自清除腳本進行自清除操作，如下所示：

7.執行各種掃描主機操作，如下所示：

8.redis未授權訪問漏洞掃描，如下所示：

9.Drupal框架CVE-2018-7600漏洞掃描，如下所示：

10.Hadoop未授權漏洞掃描，如下所示：

11.Spring框架CVE-2018-1273漏洞掃描，如下所示：

12.thinkphp框架TP5高危漏洞掃描，如下所示：

13.WebLogic框架CVE-2017-10271漏洞掃描，如下所示：

14.SQLServer框架xcmd_shell、SP_OACreate注入提權漏洞掃描，如下所示：

15.Elasticsearch框架CVE-2015-1427、CVE-2014-3120遠程代碼執行漏洞掃描，如下所示：

sysguard詳細分析

sysguard根據操作系統的版本下載執行不同的payload代碼，如下所示：

1.內存解密出PowerShell腳本，如下所示：

然后拼接PowerShell腳本，如下所示：

2.將上面的PowerShell腳本進行Base64編碼，如下所示：

判斷是否為windows平臺，如果為windows平臺執行上面的PowerShell腳本，如下所示：

調用執行PowerShell腳本，如下所示：

3.如果為Linux平臺，獲取主機root權限:

4.然后通過判斷不同的操作系統版本，與遠程服務器CC通信執行下載Payload、掃描、持久化駐留主機、更新等操作，如下所示：

5.判斷不同的操作系統，執行不同的掃描程序，如下所示：

在windows操作系統下，啟動掃描程序networkservice，如下所示：

并把相應的payload命令寫入到%temp%目錄下的隨機文件名的BAT腳本中，如下所示：

啟動掃描程序，如下所示：

捕獲到相應的流量包，如下所示：

6. 不同的操作系統執行不同的持久化操作，如下所示：

在windows操作系統下，創建相應的計劃任務，如下所示：

創建的計劃任務，如下所示：

在Linux操作系統下，創建相應的crontab自啟動，如下所示：

7.檢測各個文件，進行更新操作，如下所示：

執行更新Payload，調用任務計劃中的PowerShell腳本執行更新，如下所示：

8.與遠程服務器進行通信，如下所示：

獲取的CC服務器URL，如下所示：

http:///6HqJB0SPQqbFbHJD/pi?module=account&action=txlist&address=0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda&star

tblock=0&endblock=99999999&sort=asc&apikey=ADQAMwAuADIANAA1AC4AMgAyADIALgA1ADcAOgA4ADYANgA3AC8ANgBIAHEASgBCADAAUwBQAFEAcQBiAEYAYgBIAEoARAAvAGkAbgBpAHQALgBwAHMAMQAnACkA

執行下載payload對應的PowerShell腳本，并寫入到%temp%目錄下，相應的PowerShell腳本，如下所示：

執行完Payload，如下所示：

上述就是小編為大家分享的如何解析基于Linux和Window雙平臺新型挖礦病毒了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。