一次 “无文件”、“无进程”，在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。

0x00 正经的内容介绍

本文记录了一次表象是 “无文件”、“无进程”，在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ，包括处置过程，以及逆向分析其 原理实现，感兴趣的朋友我们一起抽丝剥茧，拨云见日。

​ 通过本文可以收获到：

0x01 不正经的事件概述

​ 2021 年 1 月份的一个阳光明媚的日子，虚拟化管理软件发现虚拟机列表界面里，有一台机器拥有色彩鲜艳且顶格显示的CPU利用率指示条 ，显然是虚拟机中最靓的仔，此事必有蹊跷。

0x02 事件表现

2.1 CPU 占用率内外不符

​ 服务器是运行在虚拟化的机器，在虚拟化管理软件中可以查看每台虚拟机的各项资源统计信息，出现异常的服务器在虚拟化管理软件中CPU占用率指示条直接顶格显示，就像这样：

​ 但是在服务器中使用 top 等命令看到的 CPU 使用率却很低，并没有完全达到 100%，就像这样：

2.2 系统中未发现奇怪配置

​ 查看系统中存在的 定时任务、服务、启动项均未发现有不对劲的情况，并且对系中常见目录下的文件进行列举，也未发现可疑文件，甚至怀疑是不是虚拟化管理软件有 BUG 了，初次检查后得到的结论：

0x03 百密必有一疏

​ 检查一遍后发现事情没有那么简单，一通操作后竟毫无收获，这怎么行！

​ 考虑下，文件、进程都看不到异常，很有可能是被隐藏了，先检查下系统命令的修改时间（虽然可以刻意修改），粗略看一下有没有被替换：

​ 好家伙，这事情变得有意思了，既然是 CPU 高占用，那还是从进程入手吧，top 命令看不到，那就换一个，装个 htop 看一下。

​ 直呼内行，头一次见规格这么高的挖矿病毒，据我所知，有一种从天而降的掌法（手段）可以实现通用性较强的隐藏效果，那就是 LD_PRELOAD。

​ LD_PRELOAD 是 Linux 系统的一个环境变量，它可以影响程序的运行时的链接（Runtime linker），它允许你定义在程序运行前优先加载的动态链接库。

​ 这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量，我们可以在主程序和其动态链接库的中间加载别的动态链接库，甚至覆盖正常的函数库。

​ 一方面，我们可以以此功能来使用自己的或是更好的函数（无需别人的源码），而另一方面，我们也可以以向别人的程序注入程序，从而达到特定的目的。（划重点）

​ 这个机制可以按 Windows 系统中的 DLL 劫持来理解。

​ 来检查一下 /etc/ld.so.preload：

​ 好家伙，还是直接上 busybox 吧。

​ BusyBox 是一个集成了 N 多个最常用 Linux 命令和工具的软件。BusyBox 包含了一些简单的工具，例如 ls、cat 和 echo 等等，还包含了一些更大、更复杂的工具，例 grep、find、mount 以及 telnet 。有些人将 BusyBox 称为 Linux 工具里的瑞士军dao。简单的说 BusyBox 就是个大工具箱，它集成压缩了 Linux 的许多工具和命令。

​ 使用busybox再次查看/etc/ld.so.preload，可以发现，文件是存在的，通过内容也可以看到恶意库文件的路径，至此可以判定此动态链接库对系统函数进行了过滤拦截，隐藏了不想让我们看到的信息。

​ 有朋友可能要问了，判断是否使用该机制，难不成只有这一种方式？ 当然不是，这里可以使用ldd命令来查看动态链接库的依赖关系，正常系统下的输出是这样的：

​But，引入运行时链接机制后，当前实例场景中是这样的：

​ 既然动态链接库有别的法子看，那 CPU 使用率呢？当然也有的，可以用vmstat来看：

​ 其中 CPU 使用率相关的列字段代表的含义如下：

名称

描述

us

用户进程执行时间（user time)（单位为百分比）

sy

系统进程执行时间（system time)（单位为百分比）

id

空闲时间（包括 IO 等待时间）,中央处理器的空闲时间 （单位为百分比）

wa

等待 IO 时间（单位为百分比）

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。