近日通过log4j捕获一只比特币挖矿木马,简单梳理一下这个木马的流程:首先会一通斩杀大量进程(妨碍挖矿的进程统统消灭),然后下载脚本并写入定时任务,这个脚本目前已经删掉了,然后它会帮你杀死其他潜在的挖矿进程,比如含有donate的进程、tmp目录下的隐藏进程,以及CPU占用率超过70%的进程(挖矿木马都懂的黑吃黑了),最后它下载自己的挖矿配置文件、挖矿程序、以及启动脚本,并把自己伪装成apache脚本(挖矿木马已经学会伪装了),这些都是挖矿木马的外壳,是为挖矿进行准备工作~
ailx10
1952 次咨询
4.9
网络安全优秀回答者
互联网行业 安全攻防员
去咨询
本来写了一点点代码分析,但是文章被吞了,发不出去,所以仅仅给出一点点大量删减的残次品,记录和分享一下日常生活,整个木马启动之前有6个过程,分别对应6个解读
解读1:木马首先会杀死一堆进程
解读2:木马去查看定时任务重是否存在cuRBc3hn
解读3:如果木马发现不存在cuRBc3hn 定时任务,就会去创建它
解读4:木马检查所有linux进程,去查找kthmimu 进程,并且杀死 包含donate和/tmp相关的进程
解读5:木马查找kthmimu进程,并且输出CPU占用率大于70%的进程PID
解读6:不存在这样的进程PID,就执行then命令,then命令是木马的启动逻辑,它会杀死所有CPU占用率超过70%的进程,杀死tmp目录下的隐藏进程,然后在tmp目录下创建隐藏文件.mimu,然后下载config.json配置文件、x.rar木马文件(重命名成kthmimu)、apache.sh启动脚本,然后对木马文件和启动脚本给与可执行权限 ....
发布于 2022-10-29 16:49
)
