铭说｜Linux环境下通过shc安装的CoinMiner

近期频繁发现使用shc开发的Linux恶意软件，它会安装包括挖矿客户端在内的各类恶意软件。据看察，在通过对存在弱口令的Linux SSH服务器的字典进攻成功后，其会在目的系统上安装恶意软件，主要包括shc下载器、XMRig CoinMiner（一种挖矿客户端），以及使用Perl开发的DDoS IRC Bot。

1 shc（shell脚本编译器）

shc是Shell Script脚本编译器的缩写，它可以将bash shell脚本转换为Linux环境下的可执行文件（ELF格式），下图为shc的使用阐明：

图1.Shell脚本编译器概述

bash是Linux操作系统中提供的基本shell，使用shc命令可将Bash的命令编译为可执行程序。此外，就像Linux有将Bash shell脚本转换为可执行ELF文件格式的shc一样，Windows也有bat2exe实用程序，可以将批处理脚本转换为可执行的EXE文件格式。在Windows环境中，黑客使用bat2exe在分发恶意批处理脚本之前将其转换为可执行文件，以绕过安全软件的检测。

shc数据部分包含使用所谓的RC4算法编码的原始Bash shell脚本。之后执行时，使用相同的RC4算法对原始脚本进行解码，并执行解码后的脚本命令。

展开全文

图2.使用RC4算法解密例程

2 shc下载器

以下是shc恶意软件的解码bash shell脚本。它从外部来源下载并运行文件，并且基于XMRig CoinMiner是从当前可用地址下载和安装的事实，它被认为是CoinMiner下载器。

图3.解码bash shell脚本例程

此外，该恶意软件具有与使用Perl开发的DDoS IRC Bot恶意软件一起感染系统的特征(这一点将进一步详尽讨论)。这些DDoS IRC机器人在过往几年中一直安装在存在弱点的Linux服务器上。黑客在扫描过程后尝试对SSH服务器进行字典进攻，假如成功，则会在目的系统上安装各种恶意软件，例如Perl IRC Bot。其他恶意软件包括XMRig、SSH扫描程序和各种IRC Bot恶意软件。

下表为此恶意软件的相关参数与功能：

表1.执行参数

与上述样例相比，VirusTotal中的类似样本则简单得多，它不需要额外的参数，并且具有完全的URL作为下载地址，如下：

图4.从VirusTotal中提取的bash shell脚本

3 XMRig矿机

shc下载器负责将压缩文件从外部源下载到路径“/usr/local/games/”并执行“run”文件。目前可供下载的压缩文件不仅包括XMRig CoinMiner恶意软件，还包括带有矿池URL和“运行”脚本的config.json。

图5.config.json 文件

由于包含配置数据的config.json文件存在于同一路径中，因此在执行XMRig时不需要传输配置。但是，检查下面展示的“运行”脚本会发现它在执行XMRig 之前将略有不同的配置数据传输到config.json中。

图6.执行XMRig的“运行”脚本

4 DDoS IRC 机器人

除了在受感染的系统上安装CoinMiner之外，它还会安装一个IRC机器人，该机器人可以通过接收命令来执行DDoS进攻。这个DDoS IRC Bot具有使用Perl开发的特征，顾名思义，它在与CC服务器通信时使用IRC协议。这两种恶意软件在形式上比较相似，虽然其中一个目前无法连接到CC服务器（IRC服务器），但另一个可以。即使可以建立连接，进进通道也不可用，这被认为是因为密码已从“ddosit”更改为另一个值。此外，在通道输进被拒绝后展示的消息中包含一个 URL，我们可以从此URL下载压缩文件，此文件包含上面的 XMRig。

图7.连接IRC服务器

接下来是配置数据，包括IRC服务器地址、端口号，“#xmr”（要输进的IRC通道名称）和进进通道所需的密码“@”。作为参考，DDoS IRC 机器人执行其他任务来验证威逼参与者;进进频道的用户用户名必须是下面展示的四个用户名之一，并且主机地址必须是“QWERTY”。

图8.DDoS Perl IRC Bot 的配置数据

假如称心上述条件，它将用户视为黑客并执行收到的命令。该IRC Bot不仅支持 TCP 泛洪、UDP 泛滥和 通道的过程。

图9. IRC 服务器传输命令

5 结论

针对 Linux SSH 服务器的典型进攻包括针对账户凭据治理不善的系统进行暴力进攻和字典进攻。因此，治理员应使用难以推测的账户密码并定期更改密码，以保护Linux服务器免受暴力进攻和字典进攻，并更新到最新的补丁以防止漏洞进攻；治理员还应使用安全程序，例如从外部访问的服务器的防火墙，以限制进攻者的访问。