2020年以来,深信服安全团队检测到Linux恶意软件挖矿事件大幅增加,并呈持续上升趋势。与Windows下的各种勒索软件家族不同,Linux下只有少数几个恶意软件家族,感染量很大。然而,这些家族却占据了全球感染宿主的绝大部分,几乎呈现出垄断趋势。本文将介绍Linux环境中比较常见和流行的7个恶意软件家族,以及它们对应的清除步骤。七大常见流行病毒家族1.BillGatesBillGates于2014年首次被发现,因其样本中含有字符串“gates”的多变量和函数而得名。该病毒主要被黑客用于DDos,其特点是会对系统正常程序(ss、netstat、ps、lsof)进行伪装。主机中毒现象:/tmp/目录下有gates.lod和moni.lod文件。出现病毒文件夹/usr/bin/bsd-port/。【宿主访问域名www.id666.pw。系统文件(ss、netstat、ps、lsof)被篡改,修改时间异常。病毒清除步骤:清除/usr/bin/bsd-port/getty、.ssh等病毒进程。清除/usr/bin/bsd-port/getty、/usr/bin/.sshd等病毒文件。从/usr/bin/dpkgd/目录恢复原始系统文件。2、DDGDDG是目前更新最频繁的恶意软件家族,感染数量也非常庞大。黑客利用P2P协议控制这个僵尸网络,达到隐藏C&C的目的。该病毒的主要目的是蠕虫挖矿,其特点是在版本迭代过程中,病毒文件名保持符合ddg.*和i.sh规范。主机中毒现象:/tmp/目录下出现ddgs.+编号的ELF文件。/tmp/目录下有qW3xT.*和SzDXM等随机名称的文件。下载i.sh有一个计划任务。病毒清除步骤:清除乱名挖矿进程及对应文件。删除父文件ddg.*。使用i.sh字符串删除cron任务。删除ssh缓存公钥authorized_keys。3、SystemdMinerSystemdMiner利用3种方式(YARN漏洞、Linux自动化运维工具、.ssh缓存key)传播。病毒早期的文件名有Systemd的字符串,后期版本被替换成了一个随机的名字。其特点是:,充分利用暗网代理进行C&C通信。主机中毒现象:经常访问带有tor2web和洋葱串的域名。Systemd*文件出现在/tmp目录中(更高版本具有随机名称)。有一个cron作业正在运行systemd-login(以后版本中的随机名称)。病毒清除步骤:清除/var/spool/cron和/etc/cron.d目录下的可疑定时任务。清除随机名称挖掘过程。清理残留的systemd-login和*.sh病毒脚本。4.StartMinerStartMiner于今年2月被发现。之所以命名是因为它的进程和计划任务中包含字符串2start.jpg。该病毒通过ssh传播,其特点是会创建多个包含字符串2start.jpg的恶意定时器。任务。主机中毒现象:定时任务中有包含2start.jpg的字符串。/tmp/目录下有名为x86_*的病毒文件。/etc/cron.d有多个伪装的定时任务文件:apache、nginx、root。病毒清除步骤:结束挖矿进程x86_*。删除所有带有字符串2start.jpg的cron任务。清除所有带有2start.jpg字符串的wget进程。5.WatchdogsMiner2019年发现了一个同样通过Redis未授权访问漏洞和SSH爆破传播的WatchdogsMiner家族。它之所以被命名是因为它会在/tmp/目录中释放一个名为watchdogs的父文件。WatchdogsMiner的初始版本在pastebin.com上托管恶意代码以逃避检测,但后续版本已弃用它并用它自己的C&C服务器*.systemten.org取而代之。该病毒的特点是样本由go语言编译,尝试伪装的hippies/LSD包(github_com_hippies_LSD_*)的主机中毒现象:有定时任务在pastebin.com上执行恶意代码。/tmp/目录下有一个名为watchdogs的病毒文件。访问*.systemten.org域名。病毒清除步骤:(1)删除恶意动态链接库/usr/local/lib/libioset.so(2)清理crontab异常项(3)使用kill命令终止挖矿进程(4)检查清理可能残留的恶意文件:chattr-i/usr/sbin/watchdogs/etc/init.d/watchdogs/var/spool/cron/root/etc/cron.d/root;chkconfig关闭看门狗;rm-f/usr/sbin/watchdogs/etc/init.d/watchdogs。(5)由于该文件是只读的,相关命令被hook,所以需要使用busyboxrm命令安装和删除busybox。6.XorDDosXorDDoS僵尸网络家族从2014年开始存活下来,因其在解密方法中大量使用Xor而得名XorDDoS。其主要目的是DDos公网主机。特点是样本采用了“多态性”和自删除的方式。导致主机上不断出现随机名称的进程,利用Rootkit技术隐藏通信IP和端口。主机中毒现象:存在病毒文件/lib/libudev.so。/usr/bin、/bin、/lib、/tmp目录下存在随机名称的病毒文件。有执行gcc.sh的定时任务。病毒清除步骤:清除/lib/udev/目录下的udev程序。清除/boot下的随机恶意文件(10个随机字符串数字)。清除/etc/cron.hourly/cron.sh和/etc/crontab计时器文件的内容。如果有RootKit驱动模块,需要卸载对应的驱动模块。该恶意程序主要利用它来隐藏相关网络IP端口。清除/lib/udev目录中的调试程序。7.RainbowMinerRainbowMiner自2019年以来频繁出现,以其访问的C&C域名命名,字符串为Rainbow。它最大的特点就是隐藏了挖矿进程kthreadds。侦查人员会发现主机的CPU占用率很高,但无法发现可疑进程。主机中毒现象:挖矿进程/usr/bin/kthreadds被隐藏,主机CPU占用率高但看不到进程。访问恶意域名Rainbow66.f3322.net。创建ssh免密码登录公钥,实现持久化攻击。有一个cron.py进程持久化守护进程。病毒清除步骤:下载busybox:wgethttp://www.busybox.net/downloads/binaries/1.31.0-defconfig-multiarch-musl/busybox-x86_64。使用busyboxtop定位挖矿进程kthreadds和父进程pdflushs,并清除。删除/usr/bin/kthreadds和/etc/init.d/pdflushs文件,以及/etc/rc*.d/下的启动项。删除/lib64/下的病毒伪装文件。清除pythoncron.py进程。加固建议:Linux恶意软件主要以挖矿为主。一旦主机被挖矿,CPU占用率就会很高,影响业务。因此,需要实时监控主机的CPU状态。定时任务是恶意软件常用的持久性攻击技术,应定期检查系统是否存在可疑的定时任务。企业也存在大量弱ssh密码,应及时更改为复杂密码,并查看/root/.ssh/目录下是否存在可疑的authorized_key缓存公钥。定期检查web程序是否存在漏洞,尤其要注意未授权访问Redis等RCE漏洞。
