LKM Rootkit与挖矿病毒结合的应急响应分析<\/h1>

1. 案例背景<\/h2>
在一次应急响应中，发现客户数十台服务器感染挖矿木马，但常规排查无法直接发现异常进程。最终发现攻击者结合使用了LKM(Loadable Kernel Module) rootkit技术隐藏挖矿进程。<\/p>

2. Rootkit技术分析<\/h2>

2.1 Diamorphine Rootkit<\/h3>

攻击者使用了GitHub开源的Diamorphine项目：<\/p>

项目地址：https:\/\/github.com\/m0nad\/Diamorphine<\/li>

支持内核版本：Linux Kernels 2.6.x\/3.x\/4.x\/5.x\/6.x (x86\/x86_64和ARM64)<\/li> <\/ul>

主要功能实现：<\/h4>

kill -63 0<\/code>：切换rootkit自身的隐藏\/显示状态<\/li>
kill -31 pid<\/code>：隐藏或显示指定PID的进程<\/li>

kill -64<\/code>：提权功能<\/li>
<\/ul>
2.2 Rootkit使用演示<\/h3>

安装后自动隐藏<\/strong>：安装成功后，rootkit模块自动隐藏<\/li>
隐藏用户进程<\/strong>：
kill -31 <PID>  # 隐藏指定进程
kill -31 <PID>  # 再次执行显示进程
<\/code><\/pre>
<\/li>
显示rootkit相关文件<\/strong>：
kill -63 0
<\/code><\/pre>
<\/li>
<\/ol>
3. 挖矿病毒分析<\/h2>
3.1 病毒特征<\/h3>

主进程伪装为python3<\/code>，实际为挖矿程序<\/li>
通过rootkit实现进程隐藏<\/li>
配置文件路径：config.ini<\/code><\/li>
<\/ul>
3.2 配置文件解析<\/h3>
wallet<\/span>=<\/span>ZEPHYR2smB5JfBY2WKW8GF3eMvCHE5QeLQBKj77jmJtPhSfJWg9L4PPAiv7kpqQXu29NXKD7iK76CZBXDtpf95rWcAxeE1L81GG44<\/span>
<\/span><\/span>rigName<\/span>=<\/span>node17<\/span>
<\/span><\/span>email<\/span>=<\/span>
<\/span><\/span>pool1<\/span>=<\/span>xmr-eu1.nanopool.org<\/span>
<\/span><\/span>noLog<\/span>=<\/span>true<\/span>
<\/span><\/span>autoUpdate<\/span>=<\/span>false<\/span>
<\/span><\/span>sortPools<\/span>=<\/span>false<\/span>
<\/span><\/span>useSSL<\/span>=<\/span>true<\/span>
<\/span><\/span>protocol<\/span>=<\/span>JSON-RPC<\/span>
<\/span><\/span><\/code><\/pre>关键参数：<\/h4>

wallet<\/strong>：矿工钱包地址，疑似属于Zephyr\/XMR区块链<\/li>
rigName<\/strong>：矿机标识名称，用于矿池区分设备<\/li>
pool1<\/strong>：主矿池地址（xmr-eu1.nanopool.org）<\/li>
noLog<\/strong>：禁用日志输出<\/li>
useSSL<\/strong>：启用加密通信<\/li>
<\/ul>
3.3 技术实现<\/h3>

编程语言<\/strong>：实际使用Golang编写，伪装为Python<\/li>
并发模型<\/strong>：利用Goroutine实现高并发挖矿<\/li>
矿池连接<\/strong>：

使用net.ParseIP<\/code>解析IP地址<\/li>
通过自定义函数main_poolconnector_ResolveIP<\/code>解析域名<\/li>
循环尝试连接所有解析到的IP地址<\/li>
<\/ul>
<\/li>
<\/ol>
4. 日志清除工具<\/h2>
攻击者使用了mig-logcleaner工具：<\/p>

项目地址：https:\/\/github.com\/infinite-horizon219\/mig-logcleaner-resurrected<\/li>
功能：

清除指定用户的日志记录<\/li>
清除所有日志记录<\/li>
清除针对特定主机的日志记录<\/li>
<\/ul>
<\/li>
<\/ul>
5. 应急响应步骤<\/h2>


初步排查<\/strong>：<\/p>

执行top<\/code>命令未发现异常（但CPU使用率显示99%）<\/li>
执行kill -63 0<\/code>显示隐藏文件<\/li>
执行lsmod<\/code>和rmmod x11<\/code>移除rootkit模块<\/li>
<\/ul>
<\/li>

进程分析<\/strong>：<\/p>

发现异常的python3<\/code>进程<\/li>
确认其为挖矿程序<\/li>
<\/ul>
<\/li>

样本分析<\/strong>：<\/p>

提取并分析x11.ko<\/code>（rootkit模块）<\/li>
分析挖矿程序配置文件<\/li>
<\/ul>
<\/li>

清除措施<\/strong>：<\/p>

终止恶意进程<\/li>
移除rootkit模块<\/li>
清理相关文件<\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>


内核保护<\/strong>：<\/p>

禁用不必要的内核模块加载<\/li>
使用SELinux或AppArmor<\/li>
定期更新内核<\/li>
<\/ul>
<\/li>

监控措施<\/strong>：<\/p>

监控\/proc<\/code>目录异常<\/li>
检查系统调用表完整性<\/li>
使用完整性检查工具如AIDE<\/li>
<\/ul>
<\/li>

挖矿防护<\/strong>：<\/p>

监控异常CPU使用模式<\/li>
限制对外矿池地址的连接<\/li>
使用网络流量分析工具<\/li>
<\/ul>
<\/li>

日志管理<\/strong>：<\/p>

将日志发送到远程服务器<\/li>
设置日志文件不可变属性<\/li>
监控日志清除行为<\/li>
<\/ul>
<\/li>
<\/ol>
7. 总结<\/h2>
该攻击案例结合了：<\/p>

LKM rootkit技术实现进程隐藏<\/li>
挖矿程序伪装为常见进程<\/li>
日志清除工具消除痕迹<\/li>
<\/ol>
防御此类攻击需要多层次的安全防护，特别关注内核级的安全威胁和隐蔽的挖矿活动。<\/p>

LKM Rootkit与挖矿病毒结合的应急响应分析<\/h1>

1. 案例背景<\/h2> 在一次应急响应中，发现客户数十台服务器感染挖矿木马，但常规排查无法直接发现异常进程。最终发现攻击者结合使用了LKM(Loadable Kernel Module) rootkit技术隐藏挖矿进程。<\/p>

2. Rootkit技术分析<\/h2>

3. 挖矿病毒分析<\/h2>

7. 总结<\/h2> 该攻击案例结合了：<\/p> LKM rootkit技术实现进程隐藏<\/li> 挖矿程序伪装为常见进程<\/li> 日志清除工具消除痕迹<\/li> <\/ol> 防御此类攻击需要多层次的安全防护，特别关注内核级的安全威胁和隐蔽的挖矿活动。<\/p>

1. 案例背景<\/h2>
在一次应急响应中，发现客户数十台服务器感染挖矿木马，但常规排查无法直接发现异常进程。最终发现攻击者结合使用了LKM(Loadable Kernel Module) rootkit技术隐藏挖矿进程。<\/p>

7. 总结<\/h2>
该攻击案例结合了：<\/p>

LKM rootkit技术实现进程隐藏<\/li>
挖矿程序伪装为常见进程<\/li>
日志清除工具消除痕迹<\/li> <\/ol>
防御此类攻击需要多层次的安全防护，特别关注内核级的安全威胁和隐蔽的挖矿活动。<\/p>