0x0 背景介绍近期，深信服安全团队捕获到Rocke Group黑产团伙运营的新挖矿病毒，该病毒通过ssh爆破、ssh免密登录、redis未授权访问漏洞以及redis弱密码爆破、jenkins远程代码执行漏洞以及jenkins弱口令爆破和ActiveMQ远程代码执行漏洞进行传播的挖矿病毒。深信服安全团队对该挖矿木马进行了详细的技术分析，并根据其传播域名特征将其命名为AliyunMiner。0x1 现象分析机器上存在恶意的定时任务/var/spool/cron/crontabs/root存在恶意启动项sshservice/etc/crontab以及/etc/bashrc中被写入恶意命令命令进行访问，可以看到aliyun.one页面上放置了恶意的代码(手动访问会跳转到阿里云官网)0x2 病毒逻辑详细分析1. 病毒为go语言编译而成，并且使用了变异的UPX加壳逃避杀软，该病毒母体使用了5个主要的packagegithub.com/hippies/LSD/LSDA——病毒相关配置初始化github.com/hippies/LSD/LSDB——文件释放github.com/hippies/LSD/LSDC——Linux权限维持github.com/hippies/LSD/LSDD——攻击与传播包Main——攻击入口点2.github.com/hippies/LSD/LSDB——文件释放2.1 释放劫持库文件到/usr/local/lib/xxx.c，然后进行编译该劫持库源代码被gzip格式压缩打包在病毒文件中，32位程序这里可以使用binwalk进行提取，64位手动提取。将该so路径写入/etc/ld.so.preload文件，实现libc预加载，达到劫持的目的。该so主要劫持函数如下表