背景简述 最近，令人信服的安全团队捕捉了Linux和Windows双平台的发掘病毒样本。安全人员分析并确定该特洛伊木马是使用最新的Go语言1.10编译和使用的redis系统漏洞传播的发掘木马病毒DDG的最新版。大量的基础库文件，木马病毒会耗费大量的服务器空间，无法清除并具有内部网外扩散功能。 DDG发掘病毒感染是在Linux系统下运作的故意发掘病毒感染。该病毒感染自去年至今一直活跃性，已经挖到超出1000万人民币的贷币。病毒样本大概1岁。

当时，已经开发设计出DDG.3012/DDG3013/DDG3020的多种变体。

主要功能如下： 文件夹名称 影响 计算机服务 水平移动控制模块，包括漏洞检测控制模块，如mssql redis thinkphp weblogic Sysguard 根据获得的系统版本号下载有目的性的Payload执行，Cc通讯控制模块 Sysupdate Xmrige开源系统发掘程序体 Update.sh 下载其他病毒感染控制模块，消除其他发掘过程，并安排任务存活 Config.json 发掘配置文件，包括钱夹详细地址和发掘主要参数 0x1现象叙述 根据安全认知SIP报警提示，服务器每3小时从Internet下载一次update.sh故意脚本制作连接详细地址： 43.245.222.57: 8667/6Hxxxxxx/update.sh  

同时，外界网络起动redis扫描仪： 通过威协谍报研究会，发现并未包括网页地址的基本信息，并且查寻提示非故意： 最迟的时间是4月8日： 0x2服务器常见故障排除 安全人员发现当前开采过程的当前Cpu已达到约399％，并且系统进程名字和PID在一定时间内分离：  该程序的主目录是在tmp下： 由tmp文件目录中的病毒感染主体建立的实例建立为nobody：  每30分钟同时使用定时任务进行长期存活：  Update.sh脚本制作主要实现更智能，最大达到15KB。主要功能如下：

1. 病毒体的病毒感染文件下载

2. 杀掉其他开采过程

3. 写authorized_keys实现root无密码登录

4. 建立计划任务

5. 加上iptables策略，消除系统日志等。

为root写一个无密码登录，写出authorized_keys，如下如图： 0x3病毒样本分析 Sysupdate控制模块 该程序是用Go撰写的，由于没有标记文件，因此这些涵数都是qq群匿名的。 Go语言编译器的不同版本号非常不同，因此您需要在分析过程中鉴别版本信息。特洛伊木马的编译器版本号是1.10：

从功能名字可以看得出，该部件的主要功能是使用内网扫描仪和横着移动。继续跟踪相关功能，找寻具体功能;该程序导进多个控制模块，对Intranet中不同服务的进攻包括mssql redis thinkphp weblogic和其他系统漏洞：Sysguard控制模块 这个部件的主要任务是打开狗的一些方法。

继续追踪并发现内部有一些不同的平台能够鉴别。使用部件2的扫描仪结果，下载进攻有效负荷并执行相应的Os系统命令以完成进攻任务。因此判断发掘程序可以在win和linux下运作：  通过Cc网络服务器实现的一连串方法，选定功能的功能是获得windows的powershell： Sysupdate控制模块 此部件是使用开源系统xmrig的发掘部件的发掘部分：  

0x4加强建议 1.清理系统中所有用户的相关故意定时任务;

2.删掉tmp文件目录中的故意病毒感染文件; 3.修补相关系统漏洞，使用强登陆密码，并成redis mssql等系统配置访问控制管理权限; 4

.使用深度令人信服的网络安全产品浏览安全的云脑，并使用云检查服务实时检测新的威协;

5.建议企业对整个网络进行安全大检查和病毒防护扫描仪，以提升保护。

建议使用Deep Confidence Security Awareness + Firewall + EDR来检测，停止和保护内部网络。   IOC： 网站地址： htpp://pixeldrain.Com/接口文档/file/3myaXqqZ .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/sysupdate .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/update.sh .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/update.sh .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/config.json .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/config.json htpp://pixeldrain.Com/接口文档/file/aQWIprw .com://43.245.222.57: 8667/6HqJB0SPQqbFbHJD/networkservice