SystemedMiner挖矿木马分析与处置指南

1. 木马概述

SystemedMiner是一种具有持久化能力的挖矿木马，具有以下特征：

通过Tor代理访问C&C服务器实现隐蔽通信
采用多种持久化机制确保长期驻留
具备内网横向传播能力
会清除其他挖矿程序实现资源独占
最新变种使用socks5代理绕过安全网关检测

2. 感染迹象检测

2.1 进程检查

检查异常进程，注意区分系统进程(如kswapd0/1)
使用top或htop查看CPU使用率异常情况

2.2 定时任务检查

检查三个位置的定时任务配置：

/etc/crontab
/etc/cron.d/目录下所有文件
各用户的定时任务配置文件

命令示例：

crontab -l
ls /etc/cron.d/

2.3 文件系统检查

查找特征字符串：

find / 2>/dev/null | grep "uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0"

2.4 网络连接检查

检查异常外连：

lsof -i
netstat -antp
ss -tulnp

3. 木马技术分析

3.1 持久化机制

木马会在多个位置创建持久化脚本：

/etc/cron.d/0systemd-private-*
/opt/systemd-private-*.sh
/root/systemd-private-*

3.2 通信机制

使用DoH(DNS over HTTPS)解析Tor代理IP
通过socks5代理连接C&C服务器
C&C域名特征包含"tor2web"、"onion"等字符串

3.3 功能模块

木马会下载多个功能模块：

持久化模块：确保长期驻留
竞争清理模块：清除其他挖矿程序
内网传播模块：通过多种方式横向移动
挖矿模块：执行实际挖矿操作
状态控制模块：管理挖矿进程

3.4 横向传播方式

SSH暴力破解
SSH免密登录利用
Hadoop Yarn未授权访问漏洞
通过自动化运维工具传播(Ansible/Salt/Puppet等)

4. 处置方法

4.1 清除定时任务

crontab -e  # 删除/root/systemd-private-*相关任务
rm -f /etc/cron.d/0systemd-private-*
rm -f /opt/systemd-private-*.sh

4.2 终止恶意进程

检查/tmp/.X11-unix/目录下的文件获取PID
终止相关进程：

kill -9 <PID>

4.3 文件系统清理

检查并删除以下目录中的可疑文件：
- /tmp/.X11-unix/
- /var/tmp/
- /dev/shm/
锁定关键目录权限：

chattr +i /tmp/.X11-unix/01
# 或
chmod -R 000 /tmp/.X11-unix/01

4.4 安全检查

检查/etc/passwd和/etc/shadow是否有异常用户
检查SSH authorized_keys文件
检查系统服务是否有异常

5. 防护建议

网络层防护：
- 限制外连访问，特别是Tor网络
- 监控异常DNS查询(DoH)
主机层防护：
- 定期更新系统和软件补丁
- 限制cron任务创建权限
- 监控/tmp等临时目录的文件变更
安全加固：
- 卸载不必要的自动化运维工具
- 加强SSH安全配置(禁用密码登录等)
- 定期审计系统账户和权限
监控措施：
- 部署EDR/XDR解决方案
- 监控CPU使用率异常
- 建立基线行为模型检测异常

6. IOC(失陷指标)

6.1 文件HASH

守护进程样本：
- MD5: d61b3ba654ad546cc49d5ace7de0e309
- SHA-1: ca852b6b7f5e52a17661456ae37e0e6009c87ac3
远控样本(int.x86_64):
- MD5: 7308d194a75c13e464d4a8cc8094bca7
- SHA-1: 389889090811fb2a4063d03c0ecafb33b8c68b12

6.2 恶意域名

fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.onion
fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.tor2web.it
fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.tor2web.in

6.3 相关IP

代理IP: 92.190.141.62:9050
检查历史连接到的Tor出口节点

7. 参考资源

通过以上全面的分析和处置指南，可以有效检测、清除和防护SystemedMiner挖矿木马，确保系统安全。

SystemedMiner挖矿木马分析与处置指南 1. 木马概述 SystemedMiner是一种具有持久化能力的挖矿木马，具有以下特征：通过Tor代理访问C&C服务器实现隐蔽通信采用多种持久化机制确保长期驻留具备内网横向传播能力会清除其他挖矿程序实现资源独占最新变种使用socks5代理绕过安全网关检测 2. 感染迹象检测 2.1 进程检查检查异常进程，注意区分系统进程(如kswapd0/1) 使用 top 或 htop 查看CPU使用率异常情况 2.2 定时任务检查检查三个位置的定时任务配置： /etc/crontab /etc/cron.d/ 目录下所有文件各用户的定时任务配置文件命令示例： 2.3 文件系统检查查找特征字符串： 2.4 网络连接检查检查异常外连： 3. 木马技术分析 3.1 持久化机制木马会在多个位置创建持久化脚本： /etc/cron.d/0systemd-private-* /opt/systemd-private-*.sh /root/systemd-private-* 3.2 通信机制使用DoH(DNS over HTTPS)解析Tor代理IP 通过socks5代理连接C&C服务器 C&C域名特征包含"tor2web"、"onion"等字符串 3.3 功能模块木马会下载多个功能模块：持久化模块：确保长期驻留竞争清理模块：清除其他挖矿程序内网传播模块：通过多种方式横向移动挖矿模块：执行实际挖矿操作状态控制模块：管理挖矿进程 3.4 横向传播方式 SSH暴力破解 SSH免密登录利用 Hadoop Yarn未授权访问漏洞通过自动化运维工具传播(Ansible/Salt/Puppet等) 4. 处置方法 4.1 清除定时任务 4.2 终止恶意进程检查 /tmp/.X11-unix/ 目录下的文件获取PID 终止相关进程： 4.3 文件系统清理检查并删除以下目录中的可疑文件： /tmp/.X11-unix/ /var/tmp/ /dev/shm/ 锁定关键目录权限： 4.4 安全检查检查 /etc/passwd 和 /etc/shadow 是否有异常用户检查SSH authorized_ keys文件检查系统服务是否有异常 5. 防护建议网络层防护：限制外连访问，特别是Tor网络监控异常DNS查询(DoH) 主机层防护：定期更新系统和软件补丁限制cron任务创建权限监控/tmp等临时目录的文件变更安全加固：卸载不必要的自动化运维工具加强SSH安全配置(禁用密码登录等) 定期审计系统账户和权限监控措施：部署EDR/XDR解决方案监控CPU使用率异常建立基线行为模型检测异常 6. IOC(失陷指标) 6.1 文件HASH 守护进程样本： MD5: d61b3ba654ad546cc49d5ace7de0e309 SHA-1: ca852b6b7f5e52a17661456ae37e0e6009c87ac3 远控样本(int.x86_ 64): MD5: 7308d194a75c13e464d4a8cc8094bca7 SHA-1: 389889090811fb2a4063d03c0ecafb33b8c68b12 6.2 恶意域名 fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.onion fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.tor2web.it fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.tor2web.in 6.3 相关IP 代理IP: 92.190.141.62:9050 检查历史连接到的Tor出口节点 7. 参考资源 SystemdMiner挖矿木马分析 - FreeBuf Tor挖矿木马分析 - GitHub 挖矿木马防护指南 - 深信服社区 Hadoop Yarn漏洞利用分析 - FreeBuf 通过以上全面的分析和处置指南，可以有效检测、清除和防护SystemedMiner挖矿木马，确保系统安全。