【病毒文件分析】Muhstik僵尸网络木马来袭，挖矿、攻击两不误

近日，深信服安全团队捕获到一款Muhstik僵尸网络木马，多个国内的服务器被爆破登录，在主机执行恶意代码以下载Muhstik僵尸木马和挖矿病毒，从而利用服务器进行挖矿，以及进行DDos攻击。

攻击者主要会在爆破登录成功后用wget下载shell脚本：

1sh : 主要下载 pty1,pty2,pty5,pty11到/var/run目录下，更改文件的权限。

首先是进行 chmod + x 提供可执行功能 ，再进行 chmod 700让其他人没有更改文件的权限。同样，将pty3,pty10,pty4放到当前的目录下，pty3在/var/run和/var/tmp目录下，执行完这些操作之后删除自身的文件1sh。

2sh: 主要下载pty1,pty2,pty11,pty10,pty4,pty5到/tmp目录下，更改文件的权限。

首先是进行 chmod + x 提供可执行功能 ，再进行 chmod 700 让其他人没有 更改 文 件的权限。 将下载的文件复制到/tmp目录下的loop0,loop1,loop2,loop3,loop4，执行完操作之后删除自身的文件2sh。

3sh: 主要下载pty10,pty3,pty4到当前的目录下，更改文件的权限。

首先是进行 chmod + x 提供可执行功能 ，再进行 chmod 700 让其他人没有 更改 文 件的权限。 然后下载pty10,pty1,pty2,pty5,pty11到/tmp目录下进行 chmod + x 提供可执行功能 ，再进行 chmod 700让其他人没有权限更改文件，3sh文件进行自删除。

病毒运行：

下载下来的文件pty* 等等的，主要是muhstik主要的病毒文件，主要功能：

1.蠕虫式传播；

2.长期驻留；

3.利用多种漏洞；

4.挖矿获利。

pty*采用UPX壳

通过ida分析，恶意文件具有crontab定时任务，以及/etc/inittab系统启动项进行持久化

可以看到计划性任务和ida中的路径相吻合：

也可以发现通信端口号是2407，和165.22.217.181:2407进行通信；

经过wieshark进行抓包可以看到和165.22.217.181:2407进行了网路上的通信，并且传递了数据包；

恶意文件为受害主机的系统分配了相应的昵称：

主要收集了电脑的体系结构、是否为root用户、编号以及设备的一部分信息，进行传送，如下：

NICK x86|f|1|8090634|unknown

主要通过Connect命令中含有设备命名unknown加入到信道中，服务器进行PING命令后，病毒主机回复PONG，病毒主机通过ex86信道密码为8974来跟僵尸网络命令互通。

在经过1小时左右会Get下载xmra64文件，并且进行加密矿工的通信还有挖矿的行为。

可以确定为是门罗XMR挖矿程序

看下本机网络行为：开始进行通信挖矿。

1.   查找到下文所述的文件，kill其进程并删除文件：

/var/run目录下的pty1,pty2,pty5,pty11