一、恶意文件概要

(资料图)

2.1 恶意文件描述

近期，安服应急响应中心在运营工作中发现某高校计算机集群在使用中出现 CPU 占用异常的现象，进一步排查发现在管理节点处存在挖矿病毒，深入分析发现该集群在 2022 年 12 月中旬也曾发生过一起挖矿事件。对比两次事件后，发现破坏者使用的威胁组件基本一致，唯一存在区别的是此次事件中存在一个 Spark 后门，供攻击者持久化访问。由此，可以确定两次挖矿事件的是同一个组织所为。

2.2 恶意文件分析

由于两次事件不同之处为 Spark 后门木马，故本文主要对获取的 Spark 样本进行分析。

该远控工具可生成 Windows、Linux、Mac 平台木马，本次捕获到的木马样本隶属于 Linux 平台，使用 go 语言编写。

该样本在运行后，会先获取受害主机的各类信息，如操作系统类型、CPU 型号、进程列表、文件系统等信息，随后采用内置的通信协议连接至 C2 地址，连接成功后会将获取到的信息传递给服务端。服务端在获取到传递的信息后，攻击者可直接在浏览器中操纵受害者主机，如结束进程、上传文件等。

通信协议

该木马存在四种通信协议，分别为 wss、ws、https 以及 http，并在确立传输协议之前，通过 GetBaseURL 方法确立当前样本需要通信的 C2 及端口信息，其对应的源码如下：

通过调试样本至该代码处可获取该样本相关联的 C2 域名（已失效）。

当后门木马与 C2 成功连接后，攻击者即可对受害者执行后续危险功能。

终止进程功能

凭借攻击者传递的进程 ID，木马将遍历当前进程列表找到对应进程，随后使用 Kill 方法去结束该进程，值得注意的是，Kill 方法调用的是 TerminateProcess（系统 API），仅能终止当前用户的进程。

命令执行功能

C2 端将一段命令传递给木马，若无参数，木马将直接储存该命令，否则将参数拆分为字符串数组并传递给命令。随后使用 Start 方法执行该命令，并将返回的进程 ID 回传至 C2 端。

下表为该后门的主要功能：

经分析，该后门所关联的域名曾于 2023 年 1 月 2 日与类似样本通信，且该组织使用的 IP 与后门工具 Netwire 存在关联。

Spark.A 为本次挖矿行动发现的样本，其关联域名 ou.duskland.xyz，经关联分析，可发现关联域名 sleep.duskland.xyz 下曾存在另一个 Spark 样本。下载 Spark.B 样本的 ip 又与 NetWire 样本关联，可以推断该挖矿团伙曾使用过 NetWire 工具。

三、IOC

43F414DC23490E5B319F19EF7E80DF64

211.64.139.23

167.179.102.70

duskland.xyz

sleep.duskland.xyz

ou.duskland.xyz

四、解决方案

4.1 处置建议

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒 / 反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。