国外vps对比免费国外主机

在一个恬静的午后，微步情报局捕获一起僵尸网络攻击活动。此次攻击始于微步在线主机威胁检测与响应平台OneEDR（下文简称OneEDR）监测到xmirg的木马进程告警信息，微步情报局的安全研究员第一时间针对此项告警展开详细技术分析。

根据文件名称，研究人员将本次涉事恶意木马判定为与挖矿相关的木马。该木马使用了SHC加密来躲避安全软件的检测。SHC是一个可以把shell脚本混淆加密打包成二进制文件的工具，该静态文件查看二进制文件中几乎没有看见shell脚本的特征。根据本次攻击事件可以发现，目前有不少黑客通过第三方工具对木马加密，从而躲过安全软件的检测。

点击其中一种可疑告警信息查看详情，发现主机从.nosdir.me下载了一个压缩包文件mint_xmr.tar.gz。

继续往下查看告警信息,OneEDR告警信息为UPX的后门文件，这里直接可以看出文件的位置以及隐藏的文件路径。

OneEDR告警提示主机在非登录状态下有修改密码的操作，将用户CentOS原有的密码“”修改为“XIq8I4rj5m1YOLZv”。

接着，查看日志发现，木马会对可疑下载的压缩包mint_xmr.tar.gz进行自动解压，给start、test、updat3、xmrig文件赋予执行权限。木马只执行了start(母体)文件，其余的子文件由start文件调用执行。

查看受害机的计划任务，发现有3个可疑的计划任务：第一个是每天00：00执行样本/var/tmp/.mint-xmr/start；第二个是每当重启就执行样本/var/tmp/.mint-xmr/updat3；第三个是每个月第一天的00：00执行/var/tmp/.mint-xmr/updat3样本。

登录受害主机查看CentOS用户日志文件，发现存在大量爆破登录SSH的行为。日志文件还记录了10月10日17:12成功登录CentOS账户的信息，登录时间与OneEDR告警信息的木马下载的时间相近，且都是CentOS账户。

根据OneEDR检测到的路径，在隐藏文件夹/var/tmp/.mint-xmr/下查看所有文件：

查看受害机的定时任务，发现存在3个定时任务：分别是每天00:00执行/var/tmp/.mint-xmr/start；每次重启以及每个月的第一天的00:00执行/var/tmp/.mint-xmr/updat3，并以后台运行的方式运行并对其输出进行重定向。

根据OneEDR上面告警信息提示，受害主机首先运行了start（986afc16d01d2c5cdca），所以先对其进行分析。

根据分析到的提示信息“hasexpired! pleasecontactyourproviderjahidulhamid@”可以关联出，这个样本是一个经过加密编译的shell脚本（工具/neurobin/shc）。

接着会调用updat3，利用#cat/var/tmp/.logs/.xmr命令定位到放马的文件夹，通过判定当前用户的id是否为

0，解锁文件夹/root/.ssh里面的所有东西，紧接着就是写入黑客的SSH密钥，赋予authorized_keys600权限，写入3个定时任务，删掉挖矿配置文件config.json，杀掉原有的挖矿进程（根据这里也可以判定这是一个shell脚本）。

紧接着分析test文件，发现它会调用同目录下的xmrig文件开始挖矿。xmrig是一个挖矿木马，需要特定的钱包地址才可以启动，那么便可以推断出test主要功能就是通过指定钱包地址启动xmrig进行挖矿。

then./:443-u86YdB5PXqUfLZXjDHniAv6DoFbZQXX55G9ixQJbz1t6wbttmqsKkfQNXMsg8uxz5jR6KL5EF9RRbZTxAd6PUc1g5Qkjpeeg-k--tls-px

这里利用上面提到的SHC混淆加密编译工具，简单测试一段输出“helloword”的代码，判断是否与木马文件采用的混淆加密编译手法类似。

研究人员在分析这个样本时，并没有发现木马本身具有密码爆破功能。当成功登录受害主机后就会下载木马，同时黑客也是“出于好心”随手帮你修改了密码。在面对这种加密的shell可以用unshc、gdb工具以及strace、ps-ef等命令进行分析。

这里以gdb工具为例对start进行分析，先用gdb载入start下好断点，利用命令grepheap/proc/pid/maps查看木马进程的虚拟空间布局，接着把相关数据dump下来。

本次事件是在OneEDR在收集终端的进程、网络、文件等系统行为发现的，OneEDR是一款专注于主机入侵检测的新型终端防护平台，通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段，实现对主机入侵的精准发现，发现已知与未知的威胁。