0x01   概述

VMware vSphere是VMware公司推出的一整套虛擬化解決方案，可以十分方便地創(chuàng)建與管理虛擬機和虛擬設(shè)備。近日360安全大腦監(jiān)測到一款針對VMware vSphere虛擬化平臺的挖礦木馬，將其命名為VsphereMiner。此挖礦木馬會在入侵虛擬機后下載xmrig挖礦程序進行牟利，使用rootkit技術(shù)隱藏自身行為，同時借助SSH連接實現(xiàn)橫向移動傳播。

0x02   技術(shù)分析

以樣本1eaf3aa14facd17930588641e5513c43為例，該樣本為VsphereMiner的前置腳本，主要功能包括：下載挖礦木馬其余模塊、往VMware vSphere服務(wù)添加木馬啟動項、清除競爭對手、SSH橫向移動等。

(1) 下載挖礦木馬

腳本會從C&C下載挖礦木馬的其余模塊：

其中的libp.so為一款用戶態(tài)rootkit，通過/etc/ld.so.preload的方式實現(xiàn)預(yù)加載，主要功能為hook了readdir、readdir64系統(tǒng)函數(shù)，隱藏掉包含關(guān)鍵詞”crosbow”的進程信息，也即木馬的javac和ann.jpg模塊，下文將分別介紹。

javac為自行編譯的開源挖礦程序XMRig，版本為6.15.2，實現(xiàn)挖礦功能：

config2.json和config3.json為xmrig挖礦配置文件，其中包含了礦池、用戶名、密碼等信息：

ann.jpg和xxx.sh為兩個惡意shell腳本，功能分別為清理CPU占用超過40%的進程、清除競爭對手。

postgresql.py推測可能與PostgreSQL數(shù)據(jù)庫的攻擊流程相關(guān)，其主要功能為執(zhí)行vshrederrun可執(zhí)行文件與postgres.sh惡意腳本。從上文可以看出，vshrederrun為挖礦木馬保存到本地的javac模塊，postgres.sh則為木馬保存到本地的xxx.sh腳本。