VsphereMiner 是一种挖矿木马，以 VMware 虚拟机为目标

更新日期：2022-02-21

1个

概述

VMware vSphere是VMware推出的一套虚拟化解决方案，可以非常方便地创建和管理虚拟机和虚拟设备。 近日，360安全大脑检测到一款针对VMware vSphere虚拟化平台的挖矿木马，并将其命名为VsphereMiner。 该挖矿木马入侵虚拟机后下载xmrig挖矿程序牟利，利用rootkit技术隐藏自身行为，利用SSH连接实现横向移动。

2个

技术分析

以样本1eaf3aa14facd17930588641e5513c43为例。 此示例是 VsphereMiner 的前置脚本。 其主要功能包括：下载其他挖矿木马模块、为VMware vSphere服务添加木马启动项、清除竞争对手、SSH横向移动等。

(1) 下载挖矿木马

该脚本将从 C&C 下载挖矿木马的剩余模块：

其中libp.so是用户态rootkit，通过/etc/ld.so.preload预加载。 主要功能是hook readdir和readdir64系统函数，隐藏包含关键字“crosbow”的进程信息。 即木马的javac和ann.jpg模块，下面分别介绍。

javac是一个自行编译的开源挖矿程序XMRig，版本6.15.2，实现挖矿功能：

config2.json和config3.json为xmrig挖矿配置文件，包含矿池、用户名、密码等信息：

ann.jpg 和xxx.sh 是两个恶意shell 脚本。 它们的作用是清理占用CPU超过40%的进程，清理竞争对手。

postgresql.py推测可能与PostgreSQL数据库的攻击过程有关，其主要功能是执行vshrederrun可执行文件和postgres.sh恶意脚本。 从上面可以看出，vshrederrun是挖矿木马本地保存的javac模块，postgres.sh是木马本地保存的xxx.sh脚本。

(2) 给VMware添加木马启动项

脚本进行一系列环境准备后，包括设置SELinux为permissive模式，使用ulimit命令设置最大进程数为50000，设置vm.nr_hugepages大内存页优化内存性能后，会尝试修改VMware vSphere本地服务文件，添加挖矿木马恶意启动项：

值得注意的是，通过对比早期版本的前脚本330426474f22394649ffd699fe096337可以发现，图中是木马作者的一个错误：挖矿木马的javac和ann.jpg模块下载旧版本本地路径分别为/usr/bin/evactrim和/usr/lib/evactrim，新版本更新为/usr/bin/crosbow和/usr/lib/crosbow，但增加了ExecStart恶意启动仍然使用的项目是旧版本中的文件路径。

如图，vsphereui.service文件被篡改，添加了恶意的ExecStart启动项“/usr/bin/evactrim --config=/usr/bin/config.json”，即带参数的xmrig矿机运行命令； vsphere.service文件被篡改，添加“/bin/sh /usr/lib/evactrim”恶意ExecStart启动项，即vsphere启动时自动执行木马ann.jpg恶意脚本过程开始。

（三）竞争对手的淘汰

木马清理kinsing、dbused、sysupdate等知名木马家族，通过杀进程、删文件，以及占用CPU 40%以上的进程，为自己独占的设备资源挖矿腾出空间：

(4) SSH横向移动

从/.ssh/config、.bash_history、/.ssh/known_hosts等文件中搜索保存的SSH凭证，建立SSH连接后，从C&C下载前置脚本cow.jpg并执行etc挖矿，最终实现前置脚本的横向传输：

截至目前，VsphereMiner挖矿木马的算力和收益如下图所示：

3个

总结

随着数字经济的不断发展，产业数字化转型驱动企业“上云、数据赋能智能”，作为云计算基础设施核心的虚拟化技术也得到快速发展。 作为虚拟化市场的领导者etc挖矿，VMware 在许多基础架构行业拥有客户。 尽管Linux系统和虚拟化环境一直被认为具有很高的安全性，但近年来在利益驱使下，相关攻击事件仍时有发生。 事实上，从2021年开始，越来越多的勒索团伙开始发布vSphere虚拟化平台的加密软件，包括臭名昭著的DarkSide、RansomExx、REvil、HelloKitty、BlackMatter等众多新老勒索者。 病毒家族。

VsphereMiner是第一个针对VMware虚拟机平台的挖矿木马。 攻击过程相对简单。 所有恶意模块均由固定的 C&C 服务器传送。 挖矿行为也是采用xmrig矿机+config.json默认配置文件+公共矿池通用做法。 在攻击目标的选择上，很少针对其他竞品未涉足的VMware vSphere虚拟化平台，对企业/组织的业务生产造成严重威胁。

从去年多款勒索病毒选择VMware vSphere作为新的攻击目标的趋势来看，预计未来针对虚拟化平台的挖矿事件可能会增加。

4个

国际奥委会：

网址：

[xx]/奶牛.jpg

[xx]/hoo7.jpg

[xx]/libp.so

[xx]/javac

[xx]/config2.json

[xx]/config3.json

[xx]/安.jpg

[xx]/postgresql.py

[xx]/xxx.sh

MD5：

MD5文件名类型说明

1eaf3aa14facd17930588641e5513c43

奶牛.jpg

壳

预恶意脚本

330426474f22394649ffd699fe096337

hoo7.jpg

壳

预恶意脚本（旧版本）

b1bb432add366d2170ed1c83fb6cfdaa

libp.so

小精灵

rootkit

00188edae2d6dae3dcd23e790da01f60

javac

小精灵

xmrig

95be2401eb52d5b5b4a1588246d71746

配置2.json

JSON

xmrig配置文件

0e1f3dd908aa33b786e641d25474fa8c

配置3.json

JSON

xmrig配置文件

c4c13f2b630bf3587468b00e5e058dfc

安.jpg

壳

恶意脚本

88181b2a6fa0098cc49d701aae298318

postgresql.py

Python

恶意py

358094a872c0cc5fc7304c07dcb4050a

xxx.sh

壳

恶意脚本

矿池：

gulf.moneroocean.stream:443

钱包地址：

87ftP3g5Aa8BVWvfi4NQpSiSw4qYNvQm1CpUK2YpGxBoTwUA2S2GUE1NsiKUGP9pBrB6RDrKWTLKz11bXK5fsGhBSNMsUx9s

5个

产品端解决方案