一、现象描述

近日，深信服 EDR 产品率先检测到一款新型 Linux 挖矿木马，经深信服安全专家分析，该病毒利用 Confluence 漏洞传播，通过定时下载对病毒体进行保活，同时由于病毒会杀掉包含 "https://"、"http://" 的进程，将导致用户无法下载文件及访问网页，挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析，并根据其母体文件名将其命名为 seasame。

感染该木马后现象如下，可以看到一个 CPU 占用异常高的 vmlinuz 进程以及 3 个采用 7 位随机字符拼凑的进程。

另外，还会出现无法使用 wget 和 curl 命令，以及无法打开浏览器等问题。

该病毒目前的传播途径主要是利用 Confluence 近期公布的远程代码执行漏洞 CVE-2019-3396 和 CVE-2019-3398，这里提醒有安装该软件的用户需要注意进行防御。

二、详细分析

2.1 母体脚本

一些初始化变量如下，其中 entropy 为 C&C 服务器字符串的翻转，C&C 服务器地址为 51 [ . ] 15 [ . ] 56 [ . ] 161 [ : ] 443；变量 new_bash、new_dog、new_killbot、omelette 为后面要创建的文件名，均由 7 位随机的字符串组成，后面描述这些文件时都直接使用其对应的变量名；_b，_j 等变量用于拼凑 shell 命令。

根据是否存在 vmlinuz 进程及其 CPU 占用是否超过 30%，判断系统是否已经感染，如果已经感染则杀掉其他 CPU 占用高于 30% 的进程并退出脚本：

下载挖矿程序 omelette 及母体脚本 seasame 到 /tmp 目录下，并执行挖矿程序。

创建 crontab 定时任务：

创建的定时任务如下，每隔 5 分钟都会从 C&C 服务器下载母体脚本 seasame 到 /tmp 目录下并执行：

删除 iptables 命令，将 wget 重命名为 wgetak，curl 命令重命名为 curlak。

创建 cloud_agent.service 服务：

cloud_agent.service 服务如下，同样用于下载并执行母体脚本 seasame：

将 bash 命令复制到当前目录，然后分别执行 3 个脚本。new_dog：守护挖矿进程；new_killbot：清除除 vmlinuz 以外，CPU 占用大于 30% 的进程；prot：杀掉包含 "https://"、"http://"、"eval" 的进程。

2.2 挖矿程序

1. 打开相应的文件，如果文件不存在，则生成相应的文件，如下所示：

2. 生成 /temp/ec2a6 文件，如下所示：

生成的文件，如下所示：

3. 生成 /var/tmp/f41，如下所示：

4. 生成 de33f4f911f20761，如下所示：

5. 获取主机 CPU 信息，如下所示：

6. 解密出相应的矿池 IP 地址 :51.38.133.232、51.15.56.161，如下所示：

7. 然后拼接不同的端口号，组成相应的矿池地址，如下所示：

组合成的矿池地址列表，如下所示：

· 51.38.133.232:443

· 51.15.56.161:80

· 51.38.133.232:21

· 51.15.56.161:20

· 51.38.133.232:53

· 51.15.56.161:53

· 51.38.133.232:162

· 51.15.56.161:161

· 51.38.133.232:990

· 51.15.56.161:989

· 51.38.133.232:1111

· 51.15.56.161:1111

· 51.38.133.232:2222

· 51.15.56.161:2222

· 51.38.133.232:3333

· 51.15.56.161:3333

· 51.38.133.232:4444

· 51.15.56.161:4444

· 51.38.133.232:8181

· 51.15.56.161:8080

· 51.38.133.232:25200

· 51.15.56.161:25400

8. 创建子进程，进行挖矿操作，如下所示：

创建挖矿进程过程，如下所示：

相应的进程信息，如下所示：

top 进程信息，如下所示：

9. 挖矿进程相关参数，如下所示：

捕获到的相应的流量数据包，如下所示：

挖矿相关流量数据包，如下所示：

矿池 IP 地址为矿池地址列表中的：51.38.133.232:443

10. 连接远程矿池地址，如下所示：

请求连接 51.15.56.161，如下所示：

获取到的流量数据，如下所示：

如果连接失败，则请求连接 51.38.133.232，如下所示：

返回相应的数据，如下所示：

拼接相应的内容，如下所示：

然后将获取的内容，写入到 /temp/yayscript.sh 脚本中，并通过 bash 执行 sh 脚本，如下所示：

yayscript.sh 的内容，如下所示：

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供针对 seasame 病毒的专杀工具，进行检测查杀。

2、深信服 EDR 产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

四、IOC

URL:

· hxxp://51.15.56.161:443/86su [ . ] jpg

· hxxp://51.15.56.161:443/86du [ . ] jpg

· hxxp://51.15.56.161:443/86s [ . ] jpg

· hxxp://51.15.56.161:443/86d [ . ] jpg

· hxxp://51.15.56.161:443/46su [ . ] jpg

· hxxp://51.15.56.161:443/46du [ . ] jpg

· hxxp://51.15.56.161:443/46s [ . ] jpg

· hxxp://51.15.56.161:443/46d [ . ] jpg

· hxxp://51.15.56.161:443/83su [ . ] jpg

· hxxp://51.15.56.161:443/83du [ . ] jpg

· hxxp://51.15.56.161:443/83s [ . ] jpg

· hxxp://51.15.56.161:443/83d [ . ] jpg

· hxxp://51.15.56.161:443/43su [ . ] jpg

· hxxp://51.15.56.161:443/43du [ . ] jpg

· hxxp://51.15.56.161:443/43s [ . ] jpg

· hxxp://51.15.56.161:443/43d [ . ] jpg

· hxxp://51.15.56.161:443/a6u [ . ] jpg

· hxxp://51.15.56.161:443/a6 [ . ] jpg

MD5:

· CD4BF850A354A80EB860586D253A4385

· D71EB083E7943F0641982797C09F3E73