Part 01

Cleanfad挖礦木馬是什么？ 

Cleanfad挖礦木馬最早活躍于2021年初，利用Docker Remote Api未授權(quán)命令執(zhí)行漏洞入侵云主機(jī)，攻擊成功后會投遞挖礦木馬，并在被控系統(tǒng)部署掃描工具，繼而利用ssh爆破、Redis未授權(quán)寫入計劃任務(wù)等方式呈蠕蟲式傳播持續(xù)進(jìn)行蠕蟲化擴(kuò)散。

Part 02

分析回溯 

貫眾安全實(shí)驗(yàn)室專家對整個入侵攻擊流程進(jìn)行了分析，攻擊者入侵投遞過程和之前手法相同，入侵成功后分別投遞init.sh、is.sh、rs.sh三個惡意sh腳本，入侵流程圖如下：

圖1 攻擊入侵流程圖

2.1 init.sh惡意sh腳本主要操作

（1）關(guān)閉主機(jī)運(yùn)行的阿里云、EDR及aegis等安全防護(hù)進(jìn)程。

圖2 關(guān)閉安全防護(hù)進(jìn)程

（2）清除其它競品挖礦木馬，包括kdevtmpfsi、kinsing及xmrig等常見挖礦家族木馬進(jìn)程。

圖3 關(guān)閉競品挖礦木馬

（3）對ps，top，pstree系統(tǒng)工具進(jìn)行重命名和替換，實(shí)現(xiàn)挖礦進(jìn)程隱藏。

圖4 修改系統(tǒng)指令，隱藏挖礦進(jìn)程

（4）設(shè)置免密登陸后門，并通過配置crontab計劃任務(wù)進(jìn)行木馬持久化。

圖5 留下后門并持久化木馬

（5）下載并運(yùn)行挖礦木馬。

圖6 下載并運(yùn)行挖礦進(jìn)程

2.2 is.sh和rs.sh惡意sh腳本主要操作

is.sh惡意sh腳本主要用于下載并安裝掃描工具M(jìn)asscan或Pnscan。

圖7 下載掃描工具

rs.sh惡意sh腳本主要利用下載好的掃描工具，進(jìn)行蠕蟲式橫向擴(kuò)散，傳播挖礦木馬。

圖8 蠕蟲式橫向傳播

Part 03

Cleanfad挖礦木馬防護(hù)方案 

智慧家庭運(yùn)營中心貫眾安全實(shí)驗(yàn)室的挖礦治理解決方案由全網(wǎng)安全運(yùn)營、威脅分析平臺、終端管控三大功能模塊組成，具備全面的安全服務(wù)資質(zhì)，能夠做到“挖礦流量能檢測”、“挖礦主機(jī)能看到”、“全網(wǎng)態(tài)勢能感知”及“事后可追溯”，同時對于疑似存在挖礦行為的主機(jī)，提供木馬排查、安全加固等安全應(yīng)急響應(yīng)服務(wù)。

針對本次變種Cleanfad挖礦木馬事件，實(shí)驗(yàn)室給出處置建議和加固方案如下：

- 處置建議

（1）結(jié)束挖礦進(jìn)程 zzh 掃描工具 pnscan和 masscan；

（2）刪除以下目錄及目錄下全部文件 /tmp/zzh，/tmp/newinit.sh，/etc/zzh和/etc/newinit.sh；

（3）清除持久化項(xiàng)，crontab中包含*init*的全部定時任務(wù)；

（4）清除遺留shh免密登陸后門，~/.ssh/authorized_keys中惡意寫入的登陸秘鑰。

- 安全加固方案

（1）Redis及ssh服務(wù)避免設(shè)置弱口令，盡量不暴露在公網(wǎng)上；

（2）定期進(jìn)行漏洞掃描，及時修復(fù)組件漏洞。

Part 04

結(jié)語 

2021年9月24日國家發(fā)改委、財政部、央行等11部門聯(lián)合發(fā)布《關(guān)于整治虛擬貨幣“挖礦”活動的通知》以來，雖然挖礦活動頻次顯著降低，但仍有不少不法黑客團(tuán)伙為了經(jīng)濟(jì)利益入侵主機(jī)進(jìn)行挖礦活動，甚至攻擊手段愈發(fā)隱蔽和高級?；谥袊苿迂S富的大網(wǎng)資源，智慧家庭運(yùn)營中心貫眾安全實(shí)驗(yàn)室對全網(wǎng)挖礦告警集中安全分析，可實(shí)現(xiàn)挖礦威脅的發(fā)現(xiàn)、研判、處置的全流程線上可視化追蹤，及時掌握全網(wǎng)挖礦安全態(tài)勢，有效治理“挖礦，保障網(wǎng)絡(luò)安全。

附：IOC信息