全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

近日，深信服安全团队捕获到Linux挖矿木马systemdMiner最新变种，该木马通过bash命令下载执行多个功能模块，通过SSH暴力破解、SSH免密登录利用、HadoopYarn未授权访问漏洞和自动化运维工具内网扩散，且该木马的文件下载均利用暗网代理，感染后会清除主机上的其他挖矿木马，以达到资源独占的目的。感染现象被感染的Linux服务器上，可以明显看到一个CPU占用率很高的进程，名字为随机字符：查看进程对应的可执行文件，是以一串疑似MD5的字符命名（并非文件真实MD5），但已经被删除：通过crontab –l命令可以看到可疑的定时任务：定时任务对应的sh脚本内容为base64编码过的命令：病毒母体-int该ELF文件是作为病毒的母体和守护进程，运行后会将自身进程名重命名为一个随机 ………………………………