Linux恶意软件深度分析:加密货币挖矿、DONUT加载器与DDoS僵尸网络

本文详细分析了2024年发现的Linux恶意软件活动,包括通过Apache2漏洞传播的加密货币挖矿程序RUDEDEVIL、DDoS僵尸网络KAIJI及其持久化技术,涵盖样本哈希值和攻击技术细节。

2024-09-24 Linux恶意软件样本分析:加密货币挖矿程序、DONUT加载器、RUDEVIL RAT、KAIJI加载器及DDoS僵尸网络

攻击活动概述

Elastic安全实验室在2024年3月发现了一个针对服务器的复杂Linux恶意软件活动。攻击者通过Apache2 Web服务器漏洞进行攻击,使用了包括自定义恶意软件、KAIJI(DDoS僵尸网络)和RUDEDEVIL(加密货币挖矿程序)在内的多种工具。他们利用伪装成内核进程的C2通道、Telegram机器人进行通信,并通过cron作业实现持久化。该活动还涉及利用赌博API,可能用于洗钱活动。

攻击技术细节

攻击者利用Apache2服务器漏洞获得任意代码执行权限,部署了KAIJI恶意软件并下载脚本(00.sh)来清除痕迹并终止其他挖矿进程。

攻击者使用文件服务器分发针对不同架构的恶意软件。已识别的RUDEDEVIL和KAIJI恶意软件变种各有不同用途,如挖掘加密货币或进行DDoS攻击。

RUDEDEVIL:具有多种功能的加密货币挖矿程序,包括套接字创建、权限处理、解密和进程监控。该恶意软件还包含基于XOR的加密例程以隐藏其活动。

KAIJI:能够规避检测、设置持久化并修改SELinux策略的DDoS僵尸网络。其部署涉及移动系统二进制文件、使用绑定挂载技术以及创建多个后门以维持控制。

攻击者利用GSOCKET进行加密通信,并伪装成内核进程。他们还使用cron作业、PHP负载和Systemd服务在受感染主机上建立并维持持久化。Telegram机器人和赌博API被用于将信息传回C2服务器。

样本下载信息 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

文件信息
├── 09f935acbac36d224acfb809ad82c475d53d74ab505f057f5ac40611d7c3dbe7 l64_v0 RUDEDEVIL:LUFICER x64版本0
├── 0fede7231267afc03b096ee6c1d3ded479b10ab235e260120bc9f68dd1fc54dd apache2_upx_packed
├── 160f232566968ade54ee875def81fc4ca69e5507faae0fceb5bef6139346496a l64_v2 RUDEDEVIL:LUFICER x64版本2
├── 20899c5e2ecd94b9e0a8d1af0114332c408fb65a6eb3837d4afee000b2a0941b l86_v0 RUDEDEVIL:LUFICER x86版本0
├── 47ceca049bfcb894c9a229e7234e8146d8aeda6edd1629bc4822ab826b5b9a40 l86_v2 RUDEDEVIL:LUFICER x86版本2
├── 54a5c82e4c68c399f56f0af6bde9fb797122239f0ebb8bcdb302e7c4fb02e1de mvhhvcp3.exe DONUT加载器
├── 728dce11ffd7eb35f80553d0b2bc82191fe9ff8f0d0750fcca04d0e77d5be28c SystemdXC XMRIG
├── 72ac2877c9e4cd7d70673c0643eb16805977a9b8d55b6b2e5a6491db565cee1f SystemdXC XMRIG
├── 89b60cedc3a4efb02ceaf629d6675ec9541addae4689489f3ab8ec7741ec8055 l64_v3 RUDEDEVIL:LUFICER x64版本3
├── 9e32be17b25d3a6c00ebbfd03114a0947361b4eaf4b0e9d6349cbb95350bf976 download.sh KAIJI加载器
├── 9ee695e55907a99f097c4c0ad4eb24ae5cf3f8215e9904d787817f1becb9449e download.sh KAIJI加载器
├── d0ef2f020082556884361914114429ed82611ef8de09d878431745ccd07c06d8 linux_amd64 KAIJI x64
├── d6350d8a664b3585108ee2b6f04f031d478e97a53962786b18e4780a3ca3da60 hjvhg.exe 挖矿程序
├── e89f4073490e48aa03ec0256d0bfa6cf9c9ac6feb271a23cb6bc571170d1bcb5 l86_v3 RUDEDEVIL:LUFICER x86版本3
└── ea0068702ea65725700b1dad73affe68cf29705c826d12a497dccf92d3cded46 l64_v1 RUDEDEVIL:LUFICER x64版本1

恶意软件存储库说明

在博客运行的过去15年中,由于更严格的无恶意软件政策,许多托管提供商已停止支持。这导致链接失效,尤其是在较旧的帖子中。如果在contagiodump.blogspot.com(或contagiominidump.blogspot.com)上发现失效链接,只需记下URL中的文件名并在Contagio恶意软件存储库中搜索即可。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次