您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

偶遇一个挖矿病毒

时间:2020-08-10 11:31:31  来源:  作者:

0x0前言

本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理。

但是不足的点也很明显:

  • top命令可以直接查看病毒进程占用cpu比率。
  • crontab -l可以发现病毒的定时任务。
  • 没有去掉特征字符,核心代码修改自github某著名挖矿源码。

注:由于网络安全法的规定,本文未将病毒链接放出。

0x1背景

某一天,一个朋友突然微信过来一个病毒(绝对不是无中生友~)。截图是朋友给的检查结果以及时间。看图的样子,这个病毒静态检测起来比较复杂??

偶遇一个挖矿病毒

 


偶遇一个挖矿病毒

 

0x2病毒分析

拿到病毒第一件事,查壳。还好,这个病毒只是一个标准的压缩壳,没有做什么大的变化。

(x86版本x64版本代码一样,习惯用x86分析)

偶遇一个挖矿病毒

 

脱壳:upx –d filename 一切顺利。

如果病毒作者自己修改upx的壳的话,标准的upx –d是脱不掉的,需要单步跟随一步步dump吧。

病毒分析是一个耐心的活,考验的是细心。

还有一点,此病毒全程没有符号表,这给逆向的人员带来很多麻烦,很多函数都需要一点点跟进才行。

对于linux病毒,如果单纯使用gdb调试的话,很容易陷入局部,不能整体把控。

此时,IDA的动态调试功能就凸显出来了。使用IDA的动态调试既简单又有效,可以节省大量时间。

方法:

1)将ida dbgsrv目录下的linux_server放在linux虚拟机中,以root形式运行linux_server,如下图。

偶遇一个挖矿病毒

 

2)在实体机中使用IDA载入病毒后,点击F9或start process按钮(绿色三角)。IDA会弹出Debugger warning提示框,点击“ok”。

这里注意一点的是,Hostname要输入linux虚拟机的ip地址,并且确保linux_server是运行状态。

至于Application、Input File、Directory这三个忽略不计也可以。

之后一路“ok”就可以调试了。

偶遇一个挖矿病毒

 


偶遇一个挖矿病毒

 

病毒内含有大量的看似无用代码,其实包含了大量需要解码的内容。流程较为简单直接,一直F8即可。

大致如下图所示:

偶遇一个挖矿病毒

 

首先经过解密,其配置如下:用户名FUCKERS,密码Rxl,矿池xmr.winscp.top:80。

至此,此病毒的关键信息已被提取。

而且有意思的一点—donate-level默认级别是5,病毒作者改成了20,捐赠的心还是很大方的~经查看,此病毒核心部分为github上一知名挖矿病毒~

偶遇一个挖矿病毒

 


偶遇一个挖矿病毒

 

部分解密采用了xor解密,红框中为解密后的,乱码为未解密的内容。如下图

偶遇一个挖矿病毒

 

解密后的脚本如下:

偶遇一个挖矿病毒

 

当可执行bash脚本被解密后,系统通过sys_execve(bin/sh)的方式呼唤起shell,然后通过sh -c执行bash的脚本。

偶遇一个挖矿病毒

 

这里有一点需要注意的是病毒执行sys_execve的方式并不是直接调用函数sys_execve,而是采用了int 0x80的方式。

Linux系统提供了200多个系统调用,通过汇编指令 int 0x80 实现,用系统调用号来区分入口函数。

为了对避免毒软件对敏感函数的纠察,病毒正好利用了此特性,通过两个步骤来实现所要执行的函数过程。

比如需要执行sys_execve。

1)首先查看资料得知sys_execve的序号是11。接着病毒将此序号传入代码中等待。

2)通过汇编语句调用 int 80,启动软中断,以软中断方式进入调用sys_execve的执行。

如下图所示:

偶遇一个挖矿病毒

 


偶遇一个挖矿病毒

 

又是一段bash解密

偶遇一个挖矿病毒

 

将bash执行后,退出程序,接着依靠crontab内的计划再次启动,进入挖矿模式。

偶遇一个挖矿病毒

 

0x3病毒清除

1)通过top命令查看cpu占用,此病毒占用还是很高的。

偶遇一个挖矿病毒

 

2)通过crontab -l 发现其启动规律

偶遇一个挖矿病毒

 

删除crontab中病毒启动命令后,kill -9 virusPID即可。接着删除病毒所在文件目录。

0x4附录:

解密完毕后,内存中会释放出许多挖矿脚本,这里使用idaPython将其dump出来

脚本如下:

from idaapi import *

from idc import *

addr_start=0xxxxxxxx

addr_end=0xaaaaaa

len=addr_start-addr_end

buf=dbg_read_memory(addr,len);

fp = open("d:\dmp.txt", "wb");

fp.write(buf);

fp.close();

本文作者:中国电信安全帮攻防团队张道全、王玉琪

转载自:https://www.freebuf.com/articles/system/244013.html



Tags:挖矿病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  Tags: 挖矿病毒  点击:(385)  评论:(0)  加入收藏
0x0前言本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理。但是不足的点也很明显: top命令可以直接查看病...【详细内容】
2020-08-10  Tags: 挖矿病毒  点击:(118)  评论:(0)  加入收藏
上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenapp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。初步估计...【详细内容】
2019-08-26  Tags: 挖矿病毒  点击:(1024)  评论:(0)  加入收藏
▌简易百科推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  walkingcloud    Tags:挖矿病毒   点击:(385)  评论:(0)  加入收藏
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将...【详细内容】
2021-08-30  Linf    Tags:计算机病毒   点击:(97)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27    河南网警  Tags:勒索病毒   点击:(220)  评论:(0)  加入收藏
如果你是一名很早就开始上网冲浪的高手,那么对于2006年风靡一时的熊猫烧香一定不会陌生,与更早开始流行的灰鸽子不同,熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破...【详细内容】
2021-07-23    中关村在线  Tags:杀毒软件   点击:(170)  评论:(0)  加入收藏
大家好,不知道你们有没有意识到一个问题:现如今,计算机病毒似乎不像多年前那样令人头疼了。在十几年前,清理病毒简直就是计算机用户的家常便饭,尤其如打印店、网吧这种密集场所,你...【详细内容】
2021-06-01    中关村在线  Tags:中毒   点击:(143)  评论:(0)  加入收藏
最近在网上看到好多的用户被这个名叫Incaseformat的病毒侵袭电脑,导致电脑除了C盘以外的所有的磁盘都被格式化了。这让很多小伙伴遇到这个病毒的时候不知所措,不知道该如何去...【详细内容】
2021-01-22      Tags:Incaseformat   点击:(239)  评论:(0)  加入收藏
1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。该蠕虫病毒主要通过 U 盘传播,感染用户机...【详细内容】
2021-01-15      Tags:蠕虫病毒   点击:(194)  评论:(0)  加入收藏
12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。...【详细内容】
2021-01-05      Tags:蠕虫   点击:(174)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18      Tags:勒索病毒   点击:(186)  评论:(0)  加入收藏
随着信息化的发展,数据安全的重要性愈加突出。据最新的 Hiscox 全球网络安全统计,在勒索软件攻击事件当中,64%以上的用户是中小企业。因此,制定完善的灾备策略,是抵御网络威胁的...【详细内容】
2020-12-15      Tags:勒索者病毒   点击:(145)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条