Part 01

Cleanfad挖礦木馬是什么？ 

Cleanfad挖礦木馬最早活躍于2021年初，利用Docker Remote Api未授權命令執行漏洞入侵云主機，攻擊成功后會投遞挖礦木馬，并在被控系統部署掃描工具，繼而利用ssh爆破、Redis未授權寫入計劃任務等方式呈蠕蟲式傳播持續進行蠕蟲化擴散。

Part 02

分析回溯 

貫眾安全實驗室專家對整個入侵攻擊流程進行了分析，攻擊者入侵投遞過程和之前手法相同，入侵成功后分別投遞init.sh、is.sh、rs.sh三個惡意sh腳本，入侵流程圖如下：

圖1 攻擊入侵流程圖

2.1 init.sh惡意sh腳本主要操作

（1）關閉主機運行的阿里云、EDR及aegis等安全防護進程。

圖2 關閉安全防護進程

（2）清除其它競品挖礦木馬，包括kdevtmpfsi、kinsing及xmrig等常見挖礦家族木馬進程。

圖3 關閉競品挖礦木馬

（3）對ps，top，pstree系統工具進行重命名和替換，實現挖礦進程隱藏。

圖4 修改系統指令，隱藏挖礦進程

（4）設置免密登陸后門，并通過配置crontab計劃任務進行木馬持久化。

圖5 留下后門并持久化木馬

（5）下載并運行挖礦木馬。

圖6 下載并運行挖礦進程

2.2 is.sh和rs.sh惡意sh腳本主要操作

is.sh惡意sh腳本主要用于下載并安裝掃描工具Masscan或Pnscan。

圖7 下載掃描工具

rs.sh惡意sh腳本主要利用下載好的掃描工具，進行蠕蟲式橫向擴散，傳播挖礦木馬。

圖8 蠕蟲式橫向傳播

Part 03

Cleanfad挖礦木馬防護方案 

智慧家庭運營中心貫眾安全實驗室的挖礦治理解決方案由全網安全運營、威脅分析平臺、終端管控三大功能模塊組成，具備全面的安全服務資質，能夠做到“挖礦流量能檢測”、“挖礦主機能看到”、“全網態勢能感知”及“事后可追溯”，同時對于疑似存在挖礦行為的主機，提供木馬排查、安全加固等安全應急響應服務。

針對本次變種Cleanfad挖礦木馬事件，實驗室給出處置建議和加固方案如下：

- 處置建議

（1）結束挖礦進程 zzh 掃描工具 pnscan和 masscan；

（2）刪除以下目錄及目錄下全部文件 /tmp/zzh，/tmp/newinit.sh，/etc/zzh和/etc/newinit.sh；

（3）清除持久化項，crontab中包含*init*的全部定時任務；

（4）清除遺留shh免密登陸后門，~/.ssh/authorized_keys中惡意寫入的登陸秘鑰。

- 安全加固方案

（1）Redis及ssh服務避免設置弱口令，盡量不暴露在公網上；

（2）定期進行漏洞掃描，及時修復組件漏洞。

Part 04

結語 

2021年9月24日國家發改委、財政部、央行等11部門聯合發布《關于整治虛擬貨幣“挖礦”活動的通知》以來，雖然挖礦活動頻次顯著降低，但仍有不少不法黑客團伙為了經濟利益入侵主機進行挖礦活動，甚至攻擊手段愈發隱蔽和高級。基于中國移動豐富的大網資源，智慧家庭運營中心貫眾安全實驗室對全網挖礦告警集中安全分析，可實現挖礦威脅的發現、研判、處置的全流程線上可視化追蹤，及時掌握全網挖礦安全態勢，有效治理“挖礦，保障網絡安全。

附：IOC信息