app Miner挖矿木马活动分析

近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该攻击脚本针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、对CPU进行一个合理的功率限制，确保不会影响正常操作和业务等等。总之，该挖矿木马会尽可能的独占资源进行挖矿，且一定程序不影响受害操作系统稳定性。因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。

经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。

根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。

图 3‑1 估算Monero挖矿的哈希率

在不同的系统上动态地调整CPU的功率或资源使用参数，具体应用可能与某些程序的性能优化或资源控制有关，比如在挖矿脚本中根据硬件性能调整工作负载。

图 3‑2 动态调整CPU功率

遍历一系列目录（如$HOME，$PWD，/var/tmp，/dev/shm，/var/run，/tmp），尝试在这些目录中找到一个可写的目录，并检查其是否有足够的可用空间。

图 3‑3 遍历指定目录并查看目录可用空间大小

根据操作系统类型、架构以及是否需要压缩和加密，来生成一个格式化的文件名。该功能通常用于生成特定平台和配置的可执行文件或包的名称，以便在不同环境中识别和使用。

图 3‑4 格式化文件名

查找系统中正在运行的竞品挖矿进程，支持精确匹配和模式匹配。它根据系统上可用的工具（如pgrep、ps、pidof）选择最佳方式进行查找，并在这些工具不可用时，通过手动遍历/proc文件系统进行查找，当查找到竞品挖矿进程后，使用pkill、killall、kill等命令进行结束进程。

图 3‑5 查找正在运行的竞品挖矿进程

更改挖矿程序落地目录的权限。

图 3‑6 更改挖矿程序落地目录的权限

从指定的URL下载挖矿程序，并根据受害者机器上的工具进行下载操作。如wget、curl、perl、Python 2.x和Python 3.x等。

图 3‑7 下载挖矿程序

设置挖矿配置文件，矿池地址为207.180.217.230:80。

图 3‑8 设置挖矿配置文件

针对攻击者投放挖矿木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图 4‑1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示：

针对挖矿攻击，安天建议企业采取如下防护措施：

1. 安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本；

2. 加强SSH口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3. 及时更新补丁：建议开启自动更新功能安装系统补丁，服务器应及时更新系统补丁；

4. 及时更新第三方应用补丁：建议及时更新第三方应用如Redis等应用程序补丁；

5. 开启日志：开启关键日志收集功能（安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；

6. 主机加固：对系统进行渗透测试及安全加固；

7. 部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

8. 安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲客户端通过主动防御能力实时检测本地脚本执行行为，对执行脚本进行威胁检测，一旦发现启动脚本为恶意文件，可自动拦截并向用户发送风险告警，保障终端环境安全。

图 5‑1运行恶意脚本时智甲成功拦截

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 5‑2 通过智甲管理中心可对安全事件统一管理和处置