一次Linux遭入侵，挖礦進程被隱藏案例分析

本文轉載自“FreeBuf.COM ”，原文作者 ：Fooying、zhenyiguo、murphyzhang
　　一、背景

　　云鼎實驗室曾分析不少入侵挖礦案例，研究發現入侵挖礦行為都比較粗暴簡單，通過 top 等命令可以直接看到惡意進程，挖礦進程不會被刻意隱藏;而現在，我們發現黑客開始不斷使用一些隱藏手段去隱藏挖礦進程而使它獲得更久存活，今天分析的內容是我們過去一個月內捕獲的一起入侵挖礦事件。

　　二、入侵分析

　　本次捕獲案例的入侵流程與以往相比，沒有特殊的地方，也是利用通用漏洞入侵服務器并獲得相關權限，從而植入挖礦程序再進行隱藏。

　　通過對幾個案例的分析，我們發現黑客主要是利用 Redis 未授權訪問問題進行入侵，對于該問題的說明可以參考我們過去做的一些分析：

　　https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w

　　在服務器被入侵后，首先可以明顯感覺到服務器的資源被占用而導致的操作遲緩等問題，通過一些常規手段可以發現一些異常信息，但又看不到進程信息：

　　通過 top 命令，可以看到顯示的 CPU 使用率較低，但 ni 值為 100 ;同時通過 /proc/stat 計算 CPU 使用率又基本是 100% 。

　　通過 netstat 查看端口監聽情況，也可以看到異常的連接。

　　通過在 Virustotal 查詢 IP，可以看到 DNS 指向為礦池域名。

　　通過 find 命令查找入侵時間范圍內變更的文件，對變更文件的排查，同時對相關文件進行分析，基本可以確認黑客使用的進程隱藏手法。

　　在變更文件里可以看到一些挖礦程序，同時 /etc/ld.so.preload 文件的變更需要引起注意，這里涉及到 Linux 動態鏈接庫預加載機制，是一種常用的進程隱藏方法，而 top 等命令都是受這個機制影響的。

　　在 Linux 操作系統的動態鏈接庫加載過程中，動態鏈接器會讀取 LD_PRELOAD 環境變量的值和默認配置文件 /etc/ld.so.preload 的文件內容，并將讀取到的動態鏈接庫進行預加載，即使程序不依賴這些動態鏈接庫，LD_PRELOAD 環境變量和 /etc/ld.so.preload 配置文件中指定的動態鏈接庫依然會被裝載，它們的優先級比 LD_LIBRARY_PATH 環境變量所定義的鏈接庫查找路徑的文件優先級要高，所以能夠提前于用戶調用的動態庫載入。

　　——段落引自《警惕利用 Linux 預加載型惡意動態鏈接庫的后門》

　　通過查看文件內容，可以看到加載一個 .so 文件：/usr/local/lib/libjdk.so

　　而這個文件也在文件變更列表里。

　　我們通過查看啟動的相關進程的 maps 信息，也可以看到相關預加載的內容：

　　通過對 libjdk.so 的逆向分析，我們可以確認其主要功能就是過濾了挖礦進程，具體可見下文分析。

　　在知道了黑客使用的隱藏手法后，直接編輯 /etc/ld.so.preload 文件去掉相關內容，然后再通過 top 命令即可看到挖礦進程：

　　通過查看 /proc/ 下進程信息可以找到位置，看到相關文件，直接進行清理即可：

　　繼續分析變更的文件，還能看到相關文件也被變更 ，比如黑客通過修改 /etc/rc.d/init.d/network 文件來進行啟動：

　　同時修改 /etc/resolv.conf ：

　　還修改了 HOSTS 文件，猜測是屏蔽其他挖礦程序和黑客入侵：

　　同時增加了防火墻規則：

　　查詢 IP 可以看到是一個國外 IP ：

　　三、樣本分析

　　通過對樣本逆向分析，發現樣本 libjdk.so 主要是 Hook 了 readdir 和 readdir64 兩個函數：

　　對應修改后的 readdir 函數結構如下(readdir64 函數也是類似的)：

　　get_dir_name 函數結構：

　　get_proces_name 函數結構：

　　process_to_filter 常量定義如下：

　　整個函數功能結合來看就是判斷如果讀取目錄為 /proc，那么遍歷的過程中如果進程名為 x7，則過濾，而 x7 就是挖礦進程名。

　　而類似于 top、ps 等命令在顯示進程列表的時候就是調用的 readdir 方法遍歷 /proc 目錄，于是挖礦進程 x7 就被過濾而沒有出現在進程列表里。

　　四、附錄

　　IOCs：

　　樣本

　　1. 4000dc2d00cb1d74a1666a2add2d9502

　　2. 8bd15b2d48a051d6b39d4c1ffaa25026

　　3. e2a72c601ad1df9475e75720ed1cf6bf

　　4. d6cee2c684ff49f7cc9d0a0162b67a8d

　　礦池地址

　　1. xmr-asia1.nanopool.org:14433

　　2. 123.56.154.87:14444

　　錢包地址

42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7