最近流行一种新型的挖矿木马Linux.BtcMine.174，该木马组合了多个组件通过ssh弱密码和面密码的证书凭据传播，感染Linux设备并用用于挖矿和Ddos攻击。木马特征行为和以前的木马也没有什么多少差异，但是该木马包含了大概1000多行的shell脚本，其中很多脚本写的很巧妙，可以作为shell学习的好材料。今天虫虫从中摘选关键部分和大家一起来分析学习。

exe目录检查

启动后，该木马首先会检查下载和执行模块的目录是否可用，检查目录包括/usr/bin,/bin,/lib,/tmp,用户目录("/home/`whoami`")和当前目录（"`pwd`"），检查目录的读（-r）写（-w）和执行权限（-x）。

function GetDownloadPath()

{

paths=("/usr/bin" "/bin" "/lib" "/boot" "/tmp" "/home/`whoami`" "`pwd`")

for path in ${paths[@]}

do

if [ -x $path ] && [ -r $path ] && [ -w $path ]

then

DownloadPath=$path

break

fi

done

}

该函数值得学习的是：shell循环for do…done语句；shell目录判断-xrw；利用命令whoami 和pwd 组成当前目录的方法，执行命令反斜杠`cmd`。

后台启动 nohup

如果脚本未使用/sbin/init运行，则执行以下操作：

1.脚本将移动到上一步选择的文件夹，该文件夹应该能生成名为diskmanagerd的写权限（rwx）（该名称通过$WatchDogName变量指定）。

2.如果没有安装nohup，脚本会尝试使用nohup或仅在后台重启（在这种情况下，Trojan会安装coreutils包）。

WatchDogName="diskmanagerd"

arg=$1

#...

function Nohup()

{

if [ "$arg" != "/sbin/init" ]

then

rm -f $DownloadPath$WatchDogName >/dev/null 2>&1

cp -rf $0 $DownloadPath$WatchDogName

chmod 755 $DownloadPath$WatchDogName >/dev/null 2>&1

rm -f $0

nohup --help >/dev/null 2>&1

if [ $? -eq 0 ]

then

nohup $DownloadPath$WatchDogName "/sbin/init"> $DownloadPath.templog 2>&1 &

exit

else

if [ `id -u` -eq "0" ]

then

yum install coreutils -y >/dev/null 2>&1

apt-get install coreutils -y >/dev/null 2>&1

sleep 30

fi

(exec $DownloadPath$WatchDogName "/sbin/init" &> /dev/null &)

exit

fi

fi

}

该函数技巧：怎么后台启动进程（nohub和 &）；shell脚本中自动安装包（yum或者apt-get）；执行的错误判断（$? -eq 0）；特权用户判断（id -u` -eq "0"）。

木马下载

木马下载过程，主要是下载特洛伊木马并运行Linux.BackDoor.Gates.9木马。该后门系列允许接受控制端发出的指令并执行DDoS攻击：

该部分主要技巧：命令执行（md5sum）和$?来判断命令是否存在。

停止防护服务

本部分恶意木马程序进程会在感染机器搜索其他矿工并在检测到它们时将其删除。主要有会扫描/proc/${pid}/exe和/proc/${pid}/cmdline以检查特定行（cryptonight，stratum + tcp等）。如果该机器未启动过Linux.BtcMine.174，它会从感染机器下载并运行另一个shell脚本，然后下载常见的linux系统漏洞来Exploit系统中的来实现普通账号提权,包括CVE-2016-5195（DirtyCow）和CVE-2013-2094。

脚本检查是否以root身份运行。如果是，先会扫描并停止一些安全程序的服务，使用包管理器删除其文件，并清空目录。脚本中涉及的安全服务名称包括：safedog，aegis，yunsuo，clamd，avast，avgd，cmdavd，cmdmgd，drweb-configd，drweb-spider-kmod，esets，xmirrord。

然后使用/etc/rc.local,/etc/rc.d / ...,/etc/cron.hourly将自身添加到自动运行列表中。还会下载并启动rootkit，也以shell脚本执行。

rootkit模块的显著特性是能够窃取su命令的用户输入密码，并隐藏文件系统，网络连接和运行进程中的文件。

感染关联机向外扩展

最后该木马脚本运行一项功能，从各种来源（用户历史记录）收集有关当前用户之前通过SSH连接的所有主机的数据。木马尝试连接到这些主机并感染它们：

该部分技巧：收集关联IP的方法（ssh的know_hosts）；收集各种用户历史记录方法（.bash_history）;

grep（正则[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}）和awk（$n列）从日志中提取IP；sort -u去重方法。

最后一部分是ssh执行攻击（免密码密钥登陆机器）。

本文中，虫虫分析了Linux.BtcMine.174木马中关键shell的技巧，用来带大家通过木马学习shell知识。如果喜欢本文请关注虫虫，更多技巧陆续会呈现。。