yayaya Miner挖矿木马变种分析报告

近期，安天CERT捕获到一批活跃的挖矿木马样本，经分析，为yayaya Miner挖矿木马的新变种，安天曾在2023年5月发布过《yayaya Miner挖矿木马分析》报告，指出该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击^[1]。

此次发现的yayaya Miner挖矿木马新变种较之前版本进行了几处更新，shc工具加密初始攻击脚本做了一些更改，不再使用yayaya目录做隐藏，改为hhide目录做隐藏；内核模块名由原来的nonono变为现在的iptable_reject；信号由原来的63变为现在的53。新变种还新增了IRC bot后门程序，可发起端口扫描、SQL扫描、发送邮件、DDoS攻击和Shell指令等功能。

表1-1 挖矿概览

该挖矿木马详细信息参见安天病毒百科。

图1-1 长按识别二维码查看yayaya Miner详细信息

2.1 挖矿脚本功能分析

挖矿脚本主要功能为删除竞品挖矿程序遗留的文件和系统日志文件，安装内核隐藏模块实现进程及目录隐藏，下载挖矿程序进行挖矿等。

表2-1 挖矿脚本样本标签

删除挖矿相关配置文件及系统日志文件，销毁攻击证据；提升系统文件句柄上限（fs.file-max）优化挖矿性能，并封锁竞争对手矿池IP段，确保设备算力专用于攻击者控制的矿池。

图2-1 痕迹清理

创建目录/tmp/a，向/tmp/a/iptable_reject.h写入内容，安装名为“iptable_reject”的模块，可实现对进程、文件和内核模块的隐藏。

图2-2 定义内核模块

使用make命令编译位于/tmp/a目录下的内核模块iptable_reject.ko，随后使用insmod将该模块加载进内核，实现Rootkit功能的激活。模块加载后立即清理编译目录以隐藏痕迹。随后脚本在/etc/下创建一个以hhide命名的隐藏目录用于存放模块副本或配置文件，作为持久化落地路径。

图2-3 安装内核模块

尝试使用各种下载方式下载挖矿程序。

图2-4 下载挖矿程序挖矿

2.2 IRC bot后门程序分析

IRC bot后门程序主要功能为连接C2服务器，等待攻击者后续指令。支持的功能主要有端口扫描、日志清理、邮件发送、DDoS攻击和Shell指令等。

表2-2 IRC bot后门程序样本标签

设置进程名为httpd，伪装成Apache HTTP服务。指定管理员用户名，IRC控制频道为#CNnew，并设置了密码“@”。利用受害机器信息动态生成IRC的昵称和用户名，默认连接到example.servidor.world的80端口，忽略中断、挂起、终止、子进程等系统信号。

图2-5 irc bot基本配置

IRC bot端口扫描功能模块，功能是扫描目标主机的一系列常见端口是否开放。

图2-6 端口扫描模块

IRC bot日志清理模块，功能是删除被入侵主机上的各种日志文件以掩盖入侵痕迹。

图2-7 日志清理模块

IRC bot邮件发送模块，向指定邮箱地址发送一封伪造邮件，带有自定义主题、发件人、收件人和邮件正文。

图2-8 邮件发送模块

IRC bot UDP Flood和TCP Flood模块，其作用都是发动DDoS攻击，令目标主机网络服务过载或瘫痪。

图2-9 DDoS攻击模块

IRC bot后门连接模块，解析IRC命令参数，判断操作系统类型，Linux/Unix使用/bin/sh -i，Windows使用cmd.exe，并主动建立一个TCP连接到攻击者指定的主控端口。

图2-10 后门连接模块

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，对发现病毒可在其落地时第一时间发送告警并进行处置，避免恶意代码启动。

图3-1 病毒文件落地时，智甲第一时间捕获并发送告警

另外智甲具备内核级主动防御能力，实时监控进程行为，本次事件中当攻击者利用make命令执行恶意操作时，智甲立即对该风险行为进行拦截。

图3-2 实时监控进程行为并拦截可疑行为

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图3-3 智甲管理中心助力管理员实现高效的终端安全管理

针对攻击者投放挖矿木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图4-1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示：

表4-1 事件对应的ATT&CK技术行为描述表