Coinminer.Linux.KINSING.B

2020年5月15日

解析者: Joshua Paul Ignacio

別名:

Trojan.Linux.Agent (IKARUS); ELF/Agent.HN!tr (FORTINET)

プラットフォーム:

Linux/Unix

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 仮想通貨発掘ツール（コインマイナー）
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成, インターネットからのダウンロード

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

コインマイナーは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

コインマイナーは、特定のWebサイトにアクセスし、情報を送受信します。概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

詳細

ファイルサイズ 16,695,296 bytes

タイプ ELF

メモリ常駐はい

発見日 2020年5月15日

ペイロードプロセスの強制終了, URLまたはIPアドレスに接続

侵入方法

インストール

コインマイナーは、以下のファイルを作成し実行します。

/tmp/salt-minions
One of the following:
- /usr/bin/salt-store
- /tmp/salt-store
- /var/tmp/salt-store
/tmp/.ICEd-unix/VpJHY

コインマイナーは、以下のフォルダを作成します。

/tmp/.ICEd-unix

バックドア活動

コインマイナーは、不正リモートユーザからの以下のコマンドを実行します。

Downloads and executes a file
Reverse shell
Command Execution
Command Execution with outputs returned
Download and install updates of itself

プロセスの終了

コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

salt-minions

その他

コインマイナーは、以下のWebサイトにアクセスし、情報を送受信します。

{BLOCKED}.{BLOCKED}.129.111
{BLOCKED}.{BLOCKED}.88.186
{BLOCKED}.{BLOCKED}.200.161
{BLOCKED}.{BLOCKED}.44.216
{BLOCKED}.{BLOCKED}.87.231

コインマイナーは、以下を実行します。

It reads the following system info:
- Product Name
- Product Version
- Product Serial
- Product UUID
- Board Vendor
- Board Name
- Board Version
- Board Serial
- Board Asset Tag
- Chassis Vendor
- Chassis Type
- Chassis Version
- Chassis Serial
- Chassis Asset Tag
- Bios Vendor
- Bios Version
- Bios Date
- Sys Vendor
- Kernel Version
Reads the following information from /sys:
- /sys/devices/system/cpu/possible
- /sys/fs/cgroup/cpuset//cpuset.cpus
- /sys/fs/cgroup/cpuset//cpuset/mems
- /sys/devices/system/cpu/online
- /sys/bus/cpu/devices/cpu{0-4}/topology/package_cpus
- /sys/bus/cpu/devices/cpu{0-4}/topology/core_cpus
- /sys/bus/cpu/devices/cpu{0-4}/topology/thread_siblings
- /sys/bus/node/devices/node{0-4}/cpumap
- /sys/bus/cpu/devices
- /sys/bus/cpu/devices/cpu{0-4}/topology
- /sys/bus/cpu/devices/cpu{0-4}/topology/core_siblings
- /sys/bus/cpu/devices/cpu{0-4}/online
- /sys/bus/cpu/devices/cpu{0-4}/topology/physical_package_id
- /sys/bus/cpu/devices/cpu{0-4}/topology/die_cpu
- /sys/bus/cpu/devices/cpu{0-4}/topology/core_id
- /sys/bus/cpu/devices/cpu{0-4}/topology/book_siblings
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/level
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/size
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/coherency_line_size
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/number_of_sets
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/physical_line_partition
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/shared_cpu_map
- /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/type
- /sys/kernel/mm/hugepages
- /sys/bus/node/devices
- /sys/bus/node/devices/node{0-4}/hugepages
Reads the following information from /proc:
- /proc/cpuinfo
- /proc/self/cgroup
- /proc/mounts
- /proc/meminfo
It creates the following cron jobs for persistence:
- Path: /var/spool/cron/crontabs/root
- Path: /var/spool/cron/crontabs/root
Deletes the following cron jobs with the following strings:
- "update.sh"
- "logo4"
- "logo9"
- "logo0"
- "logo"
- "tor2web"
- "jpg"
- "png"
- "tmp"
- "zmreplchkr"
- "aliyun.one"
- "3.215.110.66.one"
- "pastebin"
- "onion"
- "lsd.systemten.org"
- "shuf"
- "ash"
- "mr.sh"
- "185.181.10.234"
- "localhost.xyz"
It sends the following HTTP request to the C&C Server:
- GET /h
- GET /get
- POST /o

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.870.05

初回 VSAPI パターンリリース日 2020年5月15日

VSAPI OPR パターンバージョン 15.871.00

VSAPI OPR パターンリリース日 2020年5月16日

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.Linux.KINSING.B」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください