一、惡意文件概要
二、惡意文件分析
2.1 惡意文件描述
近期,安服應急響應中心在運營工作中發現某高校計算機集群在使用中出現 CPU 占用異常的現象,進一步排查發現在管理節點處存在挖礦病毒,深入分析發現該集群在 2022 年 12 月中旬也曾發生過一起挖礦事件。對比兩次事件後,發現破壞者使用的威脅組件基本一緻,唯一存在區别的是此次事件中存在一個 Spark 後門,供攻擊者持久化訪問。由此,可以确定兩次挖礦事件的是同一個組織所爲。
2.2 惡意文件分析
由于兩次事件不同之處爲 Spark 後門木馬,故本文主要對獲取的 Spark 樣本進行分析。
該遠控工具可生成 Windows、Linux、Mac 平台木馬,本次捕獲到的木馬樣本隸屬于 Linux 平台,使用 go 語言編寫。
該樣本在運行後,會先獲取受害主機的各類信息,如操作系統類型、CPU 型号、進程列表、文件系統等信息,随後采用内置的通信協議連接至 C2 地址,連接成功後會将獲取到的信息傳遞給服務端。服務端在獲取到傳遞的信息後,攻擊者可直接在浏覽器中操縱受害者主機,如結束進程、上傳文件等。
通信協議
該木馬存在四種通信協議,分别爲 wss、ws、https 以及 http,并在确立傳輸協議之前,通過 GetBaseURL 方法确立當前樣本需要通信的 C2 及端口信息,其對應的源碼如下:
通過調試樣本至該代碼處可獲取該樣本相關聯的 C2 域名(已失效)。
當後門木馬與 C2 成功連接後,攻擊者即可對受害者執行後續危險功能。
終止進程功能
憑借攻擊者傳遞的進程 ID,木馬将遍曆當前進程列表找到對應進程,随後使用 Kill 方法去結束該進程,值得注意的是,Kill 方法調用的是 TerminateProcess(系統 API),僅能終止當前用戶的進程。
命令執行功能
C2 端将一段命令傳遞給木馬,若無參數,木馬将直接儲存該命令,否則将參數拆分爲字符串數組并傳遞給命令。随後使用 Start 方法執行該命令,并将返回的進程 ID 回傳至 C2 端。
下表爲該後門的主要功能:
2.3 情報關聯分析
經分析,該後門所關聯的域名曾于 2023 年 1 月 2 日與類似樣本通信,且該組織使用的 IP 與後門工具 Netwire 存在關聯。
Spark.A 爲本次挖礦行動發現的樣本,其關聯域名 ou.duskland.xyz,經關聯分析,可發現關聯域名 sleep.duskland.xyz 下曾存在另一個 Spark 樣本。下載 Spark.B 樣本的 ip 又與 NetWire 樣本關聯,可以推斷該挖礦團夥曾使用過 NetWire 工具。
三、IOC
43F414DC23490E5B319F19EF7E80DF64
211.64.139.23
167.179.102.70
duskland.xyz
sleep.duskland.xyz
ou.duskland.xyz
四、解決方案
4.1 處置建議
1. 避免将重要服務在外網開放,若一定要開放,需增加口令複雜度,避免使用弱口令。
2. 避免打開可疑或來曆不明的郵件,尤其是其中的鏈接和附件等,如一定要打開未知文件,請先使用殺毒軟件進行掃描。
3. 安裝信譽良好的防病毒 / 反間諜軟件,定期進行系統全盤掃描,并删除檢測到的威脅,按時升級打補丁。