基于 Golang 的加密货币挖矿恶意软件活动

Golang泰达币挖矿软件，也称为 Go，是一种开源编程语言。 趋势科技研究人员在 6 月份分析一次攻击活动时发现，该语言被用于传播加密货币矿工。 该活动中使用的传播者可以扫描运行易受攻击软件的机器进行传播。 本次攻击活动的攻击链如下：

图 1. 攻击感染链

技术细节

基于 Golang 的传播者

恶意软件会寻找多个入口点将恶意软件传播到其他系统。 在此活动中，攻击者使用了常用的 SSH 服务和其他几个漏洞。 该活动使用基于 Golang 的传播器来扫描：

·SSH

·配置错误的Redis服务器

·ThinkPHP漏洞利用

·Drupal开发

·Atlassian Confluence 服务器 (CVE-2019-3396)

图 2 是扫描 Redis 端口的传播器代码。

图 2. 显示 Redis 使用的代码

除了使用错误配置的 Redis 端口外，恶意软件还可以通过易受攻击的 Web 应用程序（主要是 ThinkPHP 和 Drupal）感染服务器。 下图中的代码显示，可以扫描 Atlassian 的 Confluence 服务器以查找漏洞 CVE-2019-3396，该漏洞之前曾暴露于传播加密货币挖矿恶意软件。

图 3. 使用多个漏洞的代码

最后，恶意软件通过SSH端口传播，如下图所示。

图 4. 使用 SSH 传播的代码

其他组件

恶意软件感染系统后，它会连接到 Pastebin 以下载 dropper 组件。 然后释放器从下载的文件 mysqli[.]tar[.]gz 中提取一个 TAR 文件。 这个 TAR 文件包含一个加密货币矿工有效负载、一个基于 Golang 的扫描器和其他必要的组件泰达币挖矿软件，例如：

·矿机组件配置文件

· 执行矿机和扫描器的Trojan.SH.SQUELL.CB

· 基于 Golang 的扫描器

·矿机

· 用于确定恶意软件安装状态的文件

除了执行挖矿程序和扫描程序之外，Trojan.SH.SQUELL.CB 还执行许多其他操作。 它试图通过 SSH 感染其他系统，禁用安全工具，并清除命令历史记录和日志。 它还可以通过拦截网络流量和杀死其他进程来杀死竞争的加密货币挖掘活动。 恶意软件也可以作为服务安装在系统上以实现持久性。 还设置了一个 cron 作业来从 Pastebin 下载并执行最新版本的恶意软件。 所有活动都显示在下面的代码中：

图 5. 使用 SSH 感染其他系统的代码

图 6. 禁用安全工具的恶意软件代码

图 7. 使用命令清除历史记录和日志的代码

图 8. 系统中其他矿工的恶意软件清理代码

图 9. 恶意软件实现驻留的代码

总结和建议

这不是第一次在活动中使用基于 Golang 的脚本和恶意软件。 5 月份，另一种加密货币挖矿恶意软件使用了基于 Golang 的传播器。 Malwarebytes 之前曾报道过 Go 语言被用于数据窃取恶意软件。

Go语言为网络犯罪分子提供了一种跨平台的开发方式，开发的恶意软件既可以感染Linux主机，也可以感染Windows主机。 但这些特性并不是编程语言所独有的。 基于 Golang 的恶意软件对于安全分析师来说更难分析，因为与其他语言相比，它在恶意软件中的使用较少。

用户可以通过加强网络安全和保护来降低类似攻击活动的有效性。 研究人员建议：

及时应用必要的安全补丁和更新；

关注攻击者传播恶意软件的手段，进行针对性防护；

· 修改系统和设备设置以防止未经授权的访问。