背景
ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。
結果概要
- CoinMiner (XMR)
- Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる
ファイル概要
MD5 : 0e8b8688fe2a7efd9f0206ec3a91d84c SHA1 : 412d03c27bff37a289be4fd6d3eeba2ee2b6d980 SHA256 : 89051ece0ac34774d2ea1ff947df0a23e79765b82c2447312d703df3a3ab33dd SSDEEP : 49152:s5j4Z02z6Hygg3anTroNhNdTQwlcrLcupSyXCx:s5BQ9TQJtpS File command: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=dec9a2cd71a56589f9e1713561f6cce0c0d498f9, stripped TrID: 50.1% (.) ELF Executable and Linkable format (Linux) (4025/14) 49.8% (.O) ELF Executable and Linkable format (generic) (4000/1) PEiD: Not a valid PE file File Size : 1,959,912 byte File Type : ELF executable File Type Extension : MIME Type : application/octet-stream CPU Architecture : 64 bit CPU Byte Order : Little endian Object File Type : Executable file CPU Type : AMD x86-64 UPX 3.94w: NotPackedException: not packed by UPX
解析概要
Strings の結果に以下が含まれていた。
-B -o stratum+tcp://pool.supportxmr[.]com:3333 -u xxxxxxxxxxxx -p x -k --max-cpu-usage=75
少し調べてみると接続先はXMRのマイニング関係のサイトだった。伏せ字(xxxxxxxxxxxx )部分にはウォレットと思われる文字列が入っており、どうやら CoinMiner の模様。
また、ウォレットの文字列で検索するとハッシュ値ベースで1件のマルウェア解析結果がヒットした。 こちらの検体は VirusTotal にあげられており、コメント欄には #coinminer #miner の文字列があった。やはり CoinMiner の模様。 VirusTotal での検知数は(1/60)となっており、こちらもあまり有名なものではなさそう。
検知されていた検体の VirusTotal 履歴は以下の通り。(2010-11-20 に出現?)
First Seen In The Wild 2010-11-20 23:29:33 First Submission 2018-06-06 12:24:37 Last Submission 2018-07-30 15:22:34 Last Analysis 2018-07-30 15:22:34
ほぼ CoinMiner だということで興味が薄れつつあったものの、 一応、Linux 上で動かしてみると、gdb で動かしたときには途中で動作を停止したが、 一般ユーザ権限で通常実行したところ何もリアクションなく起動し続けていた。 デバッガ検知機構があるのかもしれない。
Strings で抽出した文字列からはCPU使用率が75%ほどに設定されているようだったが、 LANは無効にした状態で動作させたためか、CPU使用率は高くても10%ほどとあまり使用されていなかった。
関連情報
- ウォレット文字列から見つけた関連検体
- 9c3b289741c14e9e74a54d3cedc2157d2450c45730890caae4cbe143adc24efe