如何解析基于Linux和Window双平台新型挖矿病毒

这期内容当中小编将会给大家带来有关如何解析基于Linux和Window双平台新型挖矿病毒，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

这是一款近期非常流行的挖矿病毒，基于Linux和Windows双平台，主体程序都是使用GO语言进行编写的，并通过多个漏洞进行传播，估计国内已经有不少服务器被感染,笔者最近一段时间发现它更新了，并捕获到它的最新的脚本,通过分析，下载服务器URL地址为：

https://us.gsearch.com.de/api/sysupdate

http://209.182.218.161:80/363A3EDC10A2930D/sysupdate

https://us.gsearch.com.de/api/update.sh

http://209.182.218.161:80/363A3EDC10A2930D/update.sh

https://us.gsearch.com.de/api/config.json

http://209.182.218.161:80/363A3EDC10A2930D/config.json

https://us.gsearch.com.de/api/networkservice

http://209.182.218.161:80/363A3EDC10A2930D/networkservice

https://us.gsearch.com.de/api/sysguard

http://209.182.218.161:80/363A3EDC10A2930D/sysguard

相应的配置文件挖矿地址和钱包地址，如下所示：

cryptonightr.usa.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.usa

cryptonightr.eu.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.eu

cryptonightr.jp.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.jp

cryptonightr.hk.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.hk

cryptonightr.br.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.br

cryptonightr.in.nicehash.com:3375

1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.in

xmr.f2pool.com:13531

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.nice

脚本的功能主要是结束其它挖矿程序，然后从服务器上下载三个主要的程序:sysupdate、networkservice、sysguard，分别对这三个Linux下64位主程序进行详细分析，

sysupdate详细分析

sysupdate是门罗币挖矿程序，如下所示：

版本号为：2.15.1-beta，如下所示：

加载config.json配置程序矿池和钱包地址等，如下所示：

开始挖矿，如下所示：

config.json配置文件信息，如下所示：

矿池地址：xmr.f2pool.com:13531

钱包地址：

84wSxADJuSCEPGu7FyRPa2UAgs2YkTad1izUTLWJNmyvNFLU9PpTnwYUCn66cSK5v6cfRAvDdxMzpPdirw6njjt5AcRwReU.xmrxmr2019

运行截图如下所示：

捕获到了网络流量包，如下所示：

networkservice详细分析

networkservice漏洞扫描传播程序，如下所示：

1.初始化扫描IP地址段，如下所示：

从远程服务器下载相应的IP段数据，服务器地址：https://23.175.0.142/api/download/I9RRye，下载回来的IP地址段是数字整型，文件名为ips_cn.txt，如下所示：

数字转化为IP地址，如下所示：

16909568 16909823      -->  1.2.5.0  1.2.5.255

737878016 737879039    -->  43.251.32.0 43.251.35.255

1733261312 1733262335  -->  103.79.120.0 103.79.123.255

2525131776 2525132799  -->  150.130.116.0 150.130.119.255

3670879488 3670879999  -->  218.205.45.0 218.205.46.255

2.从内存中解密出相应的PowerShell脚本，如下所示：

解密出来的PowerShell脚本地址http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/init.ps1，如下所示：

可以在windows执行相应的传播、挖矿程序，如下所示：

3.创建计划任务，进行更新操作，如下所示：

4.更新执行挖矿程序，如下所示：

5.执行扫描、传播程序，如下所示：

6.同时还可以下载自清除脚本进行自清除操作，如下所示：

7.执行各种扫描主机操作，如下所示：

8.redis未授权访问漏洞扫描，如下所示：

9.Drupal框架CVE-2018-7600漏洞扫描，如下所示：

10.Hadoop未授权漏洞扫描，如下所示：

11.Spring框架CVE-2018-1273漏洞扫描，如下所示：

12.thinkphp框架TP5高危漏洞扫描，如下所示：

13.WebLogic框架CVE-2017-10271漏洞扫描，如下所示：

14.SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞扫描，如下所示：

15.Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞扫描，如下所示：

sysguard详细分析

sysguard根据操作系统的版本下载执行不同的payload代码，如下所示：

1.内存解密出PowerShell脚本，如下所示：

然后拼接PowerShell脚本，如下所示：

2.将上面的PowerShell脚本进行Base64编码，如下所示：

判断是否为windows平台，如果为windows平台执行上面的PowerShell脚本，如下所示：

调用执行PowerShell脚本，如下所示：

3.如果为Linux平台，获取主机root权限:

4.然后通过判断不同的操作系统版本，与远程服务器CC通信执行下载Payload、扫描、持久化驻留主机、更新等操作，如下所示：

5.判断不同的操作系统，执行不同的扫描程序，如下所示：

在windows操作系统下，启动扫描程序networkservice，如下所示：

并把相应的payload命令写入到%temp%目录下的随机文件名的BAT脚本中，如下所示：

启动扫描程序，如下所示：

捕获到相应的流量包，如下所示：

6. 不同的操作系统执行不同的持久化操作，如下所示：

在windows操作系统下，创建相应的计划任务，如下所示：

创建的计划任务，如下所示：

在Linux操作系统下，创建相应的crontab自启动，如下所示：

7.检测各个文件，进行更新操作，如下所示：

执行更新Payload，调用任务计划中的PowerShell脚本执行更新，如下所示：

8.与远程服务器进行通信，如下所示：

获取的CC服务器URL，如下所示：

http:///6HqJB0SPQqbFbHJD/pi?module=account&action=txlist&address=0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda&star

tblock=0&endblock=99999999&sort=asc&apikey=ADQAMwAuADIANAA1AC4AMgAyADIALgA1ADcAOgA4ADYANgA3AC8ANgBIAHEASgBCADAAUwBQAFEAcQBiAEYAYgBIAEoARAAvAGkAbgBpAHQALgBwAHMAMQAnACkA

执行下载payload对应的PowerShell脚本，并写入到%temp%目录下，相应的PowerShell脚本，如下所示：

执行完Payload，如下所示：

上述就是小编为大家分享的如何解析基于Linux和Window双平台新型挖矿病毒了，如果刚好有类似的疑惑，不妨参照上述分析进行理解。如果想知道更多相关知识，欢迎关注亿速云行业资讯频道。