Phân Tích Nhanh Một Mẫu Malware Trên Linux

Hôm nay mình được một người nhờ xem máy chủ sau khi bị hack xem hacker đã đặt và làm gì trên máy chủ của anh ta sau khi kiểm tra thì mình thấy có một cronjob khá lạ

Do mình tìm hash file trên virustotal không có nên mình quyết định lấy file này về nghiên cứu

Trong file các bạn thấy chủ yếu nó chỉ là tải về 1 file ups và thực thi file này. kiểm tra nhanh file này mình thấy

Mình dùng upx trên kali linux để giải nén nó luôn kết quả mình đã unpacked được một 1 file

Sau đó mình ném nó vào IDA thì thu được một ssh key của hacker để lại

Bên cạnh đó chúng cũng tải một file khác về để làm gì đó có vẻ liên quan tới đào coin

đáng buồn khi mình vào thì link này đã 404 mất rồi có vẻ hacker đã xóa nó thôi thì đọc tiếp nó vậy xem có gì nào

mã nguồn này có một đoạn lệnh check xem hệ điều hành đang dùng là hệ điều hành nào ubuntu hay centos, ngoài ra nó còn đang cố gắng xóa một số file.

Ssh key chúng để lại

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC/cjOtl7EKcIPBchQkU/qKSGbe7A9MTvrwqBc6trso6UMBpeTWY8loM1082h4HZ4daNJ1S8yB57PtOHSUwG//SD5ahYfOTOInQpU5p7mnczql9UPXO68VXukBpbmjueEwVtXXFnd/9kZzqBroS9zMakKh53URPoKus4d/V7Ct5ecPSo2WDRJDLbewE9ojb+v4R8C4xartjNLsyUXRwqgk1B6LKoLHXWUU55+LoaecFTBoBil+DP2Wxl2RhFaGCHItInwPgmtigYcOH/zMePw+aiXsYMbSzNtQswh3E0h7bpxq7hgilFTglfmrZybF45enkjwr9cfsWpkQ6NQ1nONA9 root@doclever

Sau đó mình tìm thấy chúng tải về một file miner để chạy

vậy thử tìm xem ví bitcoin của chúng là gì xem sao bằng cách đọc tệp miner cũng làm tương tự như trên

và thông tin ví mình mò được

BTC: 36m3Gcbpn4QU4iGibZox378VdEJvjx7Z7J7Tr

SUGAR: 36msugar1qcu07vm47ceh7lec3umx7nv7e8t

SUGAR: sugar1qcu07vm47ceh7lec3umx7nv7e8tm8r8zw4l2uy

IOCs

Tìm thêm thông tin ngoài thì thấy domain này ở bên trung quốc và hình như được quản lý bởi một công ty,