Linux环境下通过shc安装的CoinMiner

小黑安全

于 2023-03-08 20:05:15 发布

阅读量250

点赞数

文章标签： linux bash 运维 web安全网络安全 Powered by 金山文档

原文链接：https://www.freebuf.com/articles/network/354971.html

版权

近期频繁发现使用shc开发的Linux恶意软件，它会安装包括挖矿客户端在内的各类恶意软件。据观察，在通过对存在弱口令的Linux SSH服务器的字典攻击成功后，其会在目标系统上安装恶意软件，主要包括shc下载器、XMRig CoinMiner（一种挖矿客户端），以及使用Perl开发的DDoS IRC Bot。

1 shc（shell脚本编译器）

shc是Shell Script脚本编译器的缩写，它可以将bash shell脚本转换为Linux环境下的可执行文件（ELF格式），下图为shc的使用说明：

图1.Shell脚本编译器概述

bash是Linux操作系统中提供的基本shell，使用shc命令可将Bash的命令编译为可执行程序。此外，就像Linux有将Bash shell脚本转换为可执行ELF文件格式的shc一样，Windows也有bat2exe实用程序，可以将批处理脚本转换为可执行的EXE文件格式。在Windows环境中，黑客使用bat2exe在分发恶意批处理脚本之前将其转换为可执行文件，以绕过安全软件的检测。

shc数据部分包含使用所谓的RC4算法编码的原始Bash shell脚本。之后执行时，使用相同的RC4算法对原始脚本进行解码，并执行解码后的脚本命令。

图2.使用RC4算法解密例程

2 shc下载器

以下是shc恶意软件的解码bash shell脚本。它从外部来源下载并运行文件，并且基于XMRig CoinMiner是从当前可用地址下载和安装的事实，它被认为是CoinMiner下载器。

图3.解码bash shell脚本例程

此外，该恶意软件具有与使用Perl开发的DDoS IRC Bot恶意软件一起感染系统的特征(这一点将进一步详细讨论)。这些DDoS IRC机器人在过去几年中一直安装在存在弱点的Linux服务器上。黑客在扫描过程后尝试对SSH服务器进行字典攻击，如果成功，则会在目标系统上安装各种恶意软件，例如Perl IRC Bot。其他恶意软件包括XMRig、SSH扫描程序和各种IRC Bot恶意软件。

下表为此恶意软件的相关参数与功能：

参数	功能
1	下载URL和要下载的文件名
2	版本（默认为“通用”字符串）
3	要创建的PID文件的名称
4	Socks5主机名
5	安装路径（默认为“/Usr/local/games/”）
6	其他下载网址
7	其他命令

表1.执行参数

与上述样例相比，VirusTotal中的类似样本则简单得多，它不需要额外的参数，并且具有完整的URL作为下载地址，如下：

图4.从VirusTotal中提取的bash shell脚本

3 XMRig矿机

shc下载器负责将压缩文件从外部源下载到路径“/usr/local/games/”并执行“run”文件。目前可供下载的压缩文件不仅包括XMRig CoinMiner恶意软件，还包括带有矿池URL和“运行”脚本的config.json。

图5.config.json 文件

由于包含配置数据的config.json文件存在于同一路径中，因此在执行XMRig时不需要传输配置。但是，检查下面显示的“运行”脚本会发现它在执行XMRig 之前将略有不同的配置数据传输到config.json中。

图6.执行XMRig的“运行”脚本

4 DDoS IRC 机器人

除了在受感染的系统上安装CoinMiner之外，它还会安装一个IRC机器人，该机器人可以通过接收命令来执行DDoS攻击。这个DDoS IRC Bot具有使用Perl开发的特点，顾名思义，它在与C&C服务器通信时使用IRC协议。这两种恶意软件在形式上比较相似，虽然其中一个目前无法连接到C&C服务器（IRC服务器），但另一个可以。即使可以建立连接，进入通道也不可用，这被认为是因为密码已从“ddosit”更改为另一个值。此外，在通道输入被拒绝后显示的消息中包含一个 URL，我们可以从此URL下载压缩文件，此文件包含上面的 XMRig。

图7.连接IRC服务器

接下来是配置数据，包括IRC服务器地址、端口号，“#xmr”（要输入的IRC通道名称）和进入通道所需的密码“@”。作为参考，DDoS IRC 机器人执行其他任务来验证威胁参与者;进入频道的用户用户名必须是下面显示的四个用户名之一，并且主机地址必须是“QWERTY”。

图8.DDoS Perl IRC Bot 的配置数据

如果满足上述条件，它将用户视为黑客并执行收到的命令。该IRC Bot不仅支持 TCP 泛洪、UDP 泛滥和 HTTP 泛滥等DDoS攻击，还支持各种其他功能，包括命令执行、反弹Shell、端口扫描和日志删除。以下是不测试过程中的屏幕截图，它显示了当输入“!u @commands”命令以调出可用命令列表时，DDoS IRC Bot 将命令列表发送到#xmr通道的过程。

图9. IRC 服务器传输命令

5 结论

针对 Linux SSH 服务器的典型攻击包括针对账户凭据管理不善的系统进行暴力攻击和字典攻击。因此，管理员应使用难以猜测的账户密码并定期更改密码，以保护Linux服务器免受暴力攻击和字典攻击，并更新到最新的补丁以防止漏洞攻击；管理员还应使用安全程序，例如从外部访问的服务器的防火墙，以限制攻击者的访问。