SystemedMiner挖矿木马分析与处置指南<\/h1>

1. 木马概述<\/h2>

SystemedMiner是一种具有持久化能力的挖矿木马，具有以下特征：<\/p>

通过Tor代理访问C&C服务器实现隐蔽通信<\/li>
采用多种持久化机制确保长期驻留<\/li>
具备内网横向传播能力<\/li>
会清除其他挖矿程序实现资源独占<\/li>

最新变种使用socks5代理绕过安全网关检测<\/li> <\/ul>

2. 感染迹象检测<\/h2>

2.1 进程检查<\/h3>

检查异常进程，注意区分系统进程(如kswapd0\/1)<\/li>

使用

top<\/code>或htop<\/code>查看CPU使用率异常情况<\/li>
<\/ul>
2.2 定时任务检查<\/h3>
检查三个位置的定时任务配置：<\/p>

\/etc\/crontab<\/code><\/li>
\/etc\/cron.d\/<\/code>目录下所有文件<\/li>
各用户的定时任务配置文件<\/li>
<\/ol>
命令示例：<\/p>
crontab -l
<\/span><\/span>ls \/etc\/cron.d\/
<\/span><\/span><\/code><\/pre>2.3 文件系统检查<\/h3>
查找特征字符串：<\/p>
find \/ 2>\/dev\/null | grep "uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0"<\/span>
<\/span><\/span><\/code><\/pre>2.4 网络连接检查<\/h3>
检查异常外连：<\/p>
lsof -i
<\/span><\/span>netstat -antp
<\/span><\/span>ss -tulnp
<\/span><\/span><\/code><\/pre>3. 木马技术分析<\/h2>
3.1 持久化机制<\/h3>
木马会在多个位置创建持久化脚本：<\/p>

\/etc\/cron.d\/0systemd-private-*<\/code><\/li>
\/opt\/systemd-private-*.sh<\/code><\/li>
\/root\/systemd-private-*<\/code><\/li>
<\/ol>
3.2 通信机制<\/h3>

使用DoH(DNS over HTTPS)解析Tor代理IP<\/li>
通过socks5代理连接C&C服务器<\/li>
C&C域名特征包含"tor2web"、"onion"等字符串<\/li>
<\/ol>
3.3 功能模块<\/h3>
木马会下载多个功能模块：<\/p>

持久化模块<\/strong>：确保长期驻留<\/li>
竞争清理模块<\/strong>：清除其他挖矿程序<\/li>
内网传播模块<\/strong>：通过多种方式横向移动<\/li>
挖矿模块<\/strong>：执行实际挖矿操作<\/li>
状态控制模块<\/strong>：管理挖矿进程<\/li>
<\/ol>
3.4 横向传播方式<\/h3>

SSH暴力破解<\/li>
SSH免密登录利用<\/li>
Hadoop Yarn未授权访问漏洞<\/li>
通过自动化运维工具传播(Ansible\/Salt\/Puppet等)<\/li>
<\/ol>
4. 处置方法<\/h2>
4.1 清除定时任务<\/h3>
crontab -e  # 删除\/root\/systemd-private-*相关任务<\/span>
<\/span><\/span>rm -f \/etc\/cron.d\/0systemd-private-*
<\/span><\/span>rm -f \/opt\/systemd-private-*.sh
<\/span><\/span><\/code><\/pre>4.2 终止恶意进程<\/h3>

检查\/tmp\/.X11-unix\/<\/code>目录下的文件获取PID<\/li>
终止相关进程：<\/li>
<\/ol>
kill -9 <PID>
<\/span><\/span><\/code><\/pre>4.3 文件系统清理<\/h3>

检查并删除以下目录中的可疑文件：

\/tmp\/.X11-unix\/<\/code><\/li>
\/var\/tmp\/<\/code><\/li>
\/dev\/shm\/<\/code><\/li>
<\/ul>
<\/li>
锁定关键目录权限：<\/li>
<\/ol>
chattr +i \/tmp\/.X11-unix\/01
<\/span><\/span># 或<\/span>
<\/span><\/span>chmod -R 000<\/span> \/tmp\/.X11-unix\/01
<\/span><\/span><\/code><\/pre>4.4 安全检查<\/h3>

检查\/etc\/passwd<\/code>和\/etc\/shadow<\/code>是否有异常用户<\/li>
检查SSH authorized_keys文件<\/li>
检查系统服务是否有异常<\/li>
<\/ol>
5. 防护建议<\/h2>


网络层防护<\/strong>：<\/p>

限制外连访问，特别是Tor网络<\/li>
监控异常DNS查询(DoH)<\/li>
<\/ul>
<\/li>

主机层防护<\/strong>：<\/p>

定期更新系统和软件补丁<\/li>
限制cron任务创建权限<\/li>
监控\/tmp等临时目录的文件变更<\/li>
<\/ul>
<\/li>

安全加固<\/strong>：<\/p>

卸载不必要的自动化运维工具<\/li>
加强SSH安全配置(禁用密码登录等)<\/li>
定期审计系统账户和权限<\/li>
<\/ul>
<\/li>

监控措施<\/strong>：<\/p>

部署EDR\/XDR解决方案<\/li>
监控CPU使用率异常<\/li>
建立基线行为模型检测异常<\/li>
<\/ul>
<\/li>
<\/ol>
6. IOC(失陷指标)<\/h2>
6.1 文件HASH<\/h3>

守护进程样本：

MD5: d61b3ba654ad546cc49d5ace7de0e309<\/li>
SHA-1: ca852b6b7f5e52a17661456ae37e0e6009c87ac3<\/li>
<\/ul>
<\/li>
远控样本(int.x86_64):

MD5: 7308d194a75c13e464d4a8cc8094bca7<\/li>
SHA-1: 389889090811fb2a4063d03c0ecafb33b8c68b12<\/li>
<\/ul>
<\/li>
<\/ul>
6.2 恶意域名<\/h3>

fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.onion<\/li>
fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.tor2web.it<\/li>
fjuoqusekcob5av5rww3nxgscdrq5dgm7w535qe2ekudln4azyzqkzad.tor2web.in<\/li>
<\/ul>
6.3 相关IP<\/h3>

代理IP: 92.190.141.62:9050<\/li>
检查历史连接到的Tor出口节点<\/li>
<\/ul>
7. 参考资源<\/h2>

SystemdMiner挖矿木马分析 - FreeBuf<\/a><\/li>
Tor挖矿木马分析 - GitHub<\/a><\/li>
挖矿木马防护指南 - 深信服社区<\/a><\/li>
Hadoop Yarn漏洞利用分析 - FreeBuf<\/a><\/li>
<\/ol>
通过以上全面的分析和处置指南，可以有效检测、清除和防护SystemedMiner挖矿木马，确保系统安全。<\/p>