ca88yzc 6

比特币没落,门罗币恶意挖矿机已瞄准Linux和Windows服务器ca88yzc

Posted by

现在比特币似乎已经不是黑客们的最爱了,由于过去比特币一直被认为是“犯罪货币”,所以执法机构已经开发出追踪技术来调查比特币的交易记录了。而门罗币的不可追踪性,决定了它未来必然会受到黑客的欢迎。

Check
Point和Certego发布报告指出,近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用,在网上搜寻老旧的Web服务器,企图感染目标。

据coinmarketcap.com的数据显示,门罗币的价格在2017年最后两个月翻了两倍至349美元,而同期比特币大约只翻了一倍左右,所以最近出现了大量的针对门罗币的挖掘事件。

ca88yzc 1

攻击者瞄准Linux和Windows服务器

Ixia的安全研究人员斯蒂芬·塔纳斯(Stefan
Tanase)向外媒表示,RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器,攻击者会利用已知的漏洞利用实施入侵,并利用RubyMiner进一步感染目标。

Check
Point和Ixia公司称,它们发现攻击者在近期这起攻击活动中部署以下漏洞利用:

Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)

PHP php-cgi
查询字符串参数代码执行漏洞
(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、
CVE-2013-4878)

微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)

显而易见,RubyMiner的目标是Windows和Linux系统。

这不最近,F5
Networks的安全研究人员又发现了一个名为PyCryptoMiner的新的Linux
门罗币挖矿僵尸网络,而且是可以通过SSH协议进行传播新的Linux加密僵尸网络。

F5 Networks 的安全研究人员发现了一个新的 Linux
加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开
SSH 端口的 Linux 系统。

攻击者将恶意代码隐藏在robots.txt文件中

Check
Point根据其蜜罐收集的数据破解了RubyMiner在Linux系统上的感染程序,从而得出以下结论:

漏洞利用包含一系列Shell命令;

攻击者清除了所有Cron定时任务;

攻击者新增每小时要执行的Cron定时任务;

新的Cron定时任务下载在线托管的脚本;

脚本藏在各个域名的robots.txt文件内;

脚本下载并安装篡改版的XMRig门罗币挖矿应用。

Check
Point的安全研究人员勒特姆·芬克尔斯坦向外媒表示,他们发现攻击者以Windows
IIS服务器为目标,但尚未能获取这款恶意软件的Windows版副本。

这起攻击之所以被发现,部分原因在于攻击者用来将恶意命令隐藏到robots.txt(lochjol[.]com)的其中一个域名曾在2013年的一起恶意软件攻击活动中使用过。后者也使用了RubyMiner部署的Ruby
on Rails漏洞利用,这说明这些攻击活动是同一组织所为。

有的时候,用python来解密比用C++快很多,省去了很多建工程的力气。所以Python是每一个加密解密人员必备的一门语言。不过如果安全人员的系统是Linux,那么就可以轻松地完成python的安装过程,但如果安全人员的系统是Winodws,那么就需要在Windows上重新编译。所以python的使用系统一般都是在Linux上,这也就不难理解为什么本次的PyCryptoMiner只针对Linux了。另外由于过去一年,黑客利用僵尸网络进行挖矿的势头迅猛,所以许多安全解决方案都增加了这方面的检测。鉴于此,黑客开发的挖矿工具也是与时俱进,具有了更多的隐蔽性。PyCryptoMiner僵尸网络就是基于Python脚本语言,这样PyCryptoMiner就会伪装成一个合法的二进制文件来执行挖矿过程,但这个过程由于被混淆过了,所以很难被检测到。

根据研究人员的描述,PyCryptoMiner 主要包括以下五个特性:

RubyMiner已感染700台服务器

据Check
Point预估,RubyMiner感染的服务器数量大约有700台。从RubyMiner部署的自定义挖矿程序中发现的钱包地址来看,攻击者赚取了约540美元。

由研究人员认为,如果攻击者使用最近的漏洞利用,而非十年前的漏洞,其成功率会更高。比如,最近媒体报道称,2017年10月攻击者曾利用Oracle
WebLogic服务器赚取了22.6万美元。

截止发文前,研究人员已在黑客的两个PyCryptoMiner钱包地址中,分别发现了94和64个门罗币,约价值6万美元,而这只是所获利的一小部分。

  • 基于 Python 脚本语言,这意味着很难被检测出来

  • 在原始命令和控制(C&C)服务器不可用时,会利用
    Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的 C&C 服务器分配

  • 域名注册人与超过 3.6 万个域名相关联,其中一些域名自 2012
    年以来一直以诈骗、赌博和成人服务而闻名

  • 被用于开采一种深受网络犯罪分子青睐且具备高度匿名性的加密货币——门罗币(Monero)。截至
    2017 年 12 月下旬,PyCryptoMiner 已经开采了大约价值 4.6
    万美元的门罗币

  • 利用 CVE-2017-12149 漏洞,在 12 月中旬推出了针对易受攻击的 JBoss
    服务器的新扫描功能

门罗币挖矿恶意软件不断增多

近几个月,加密货币挖矿攻击企图猖獗,尤其是门罗币挖矿恶意软件。除了门罗币劫持事件,2017年出现了众多门罗币挖矿恶意软件,包括Digmine、
Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人员在2018年年初的两周就已经发现针对Linux服务器的恶意软件PyCryptoMiner,此外,研究人员还发现有黑客利用Oracle
WebLogic漏洞开采门罗币。

上述提到的大多数瞄准Web服务器的挖矿攻击事件中,攻击者尝试利用最近的漏洞利用。但是,RubyMiner较特殊,因为攻击者使用的是非常老旧的漏洞利用。芬克尔斯坦表示,攻击者可能一直在故意搜寻系统管理员遗忘在网络上的PC以及使用老旧版本的服务器。感染这些设备意味着能长期潜伏进行挖矿。

PyCryptoMiner的攻击过程

针对Linux系统构建僵尸网络已是非常普遍的攻击媒介了,特别是在物联网设备兴起的最近几年,基于Python的脚本语言,似乎已成攻击趋势。与二进制恶意软件替代方案不同的是,基于脚本语言的恶意软件本质上更能逃避检测,因为它可能很容易被混淆,另外它也是由一个合法的二进制文件执行的,它可能是几乎所有Linux/Windows发行版中的PERL/
Python/Bash/Go/PowerShell解释器之一。

image.png

PyCryptoMiner通过尝试猜测目标Linux系统的SSH登录凭据进行传播。一旦SSH凭证被猜出,僵尸网络就会部署一个简单的base64编码的Python脚本,用于连接C&C服务器来下载和执行额外的Python代码。

基于Python脚本语言,所以很难被检测到;在C&C服务器不可用时,PyCryptoMiner会利用Pastebin.com(在用户名“WHATHAPPEN”下)接收新的C&C服务器分配。根据目前的调查,“WHATHAPPEN”已与3.6万多个域名相关联,其中一些域名自2012年以来就开始实施诈骗、赌博和色情服务。

另外研究人员发现该僵尸网络最近又增加了它是一个扫描程序,被用于寻找受CVE-2017-12149漏洞影响的JBoss服务器。JBOSSApplication
Server反序列化命令执行漏洞(CVE-2017-12149),远程黑客利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。由于该漏洞的细节和验证代码已公开,所以出现了大规模利用该漏洞尝试的攻击。

但是,这个僵尸网络的开发者非常聪明。由于大多数恶意软件都会对C&C服务器的地址进行硬编码,所以当原始C&C服务器不可用时,就会出现服务器无法告知僵尸网络已切换到另一台C&C服务器的情况。因此,如果原地址不可用的话,黑客就会使用Pastebin.com来发布一个替代的C&C服务器地址。
[图片上传失败…(image-e24b5b-1515721283875)]在Pastebin.com上托管的备用C&C服务器地址

黑客需要面对的挑战之一是如何保持可持续的C&C基础架构,而不被企业安全解决方案快速列入黑名单,或者在执法和安全厂商的滥用报告之后经常被ISP和托管服务关闭。

因此黑客开始使用的更复杂的方法,就是公共文件托管服务,如Dropbox.com和Pastebin.com,这些服务不能轻易被列入黑名单或关闭。这种技术还允许黑客在需要时可更新C&C服务器的地址。

值得注意的是,在写本文时,僵尸网络的C&C服务器已被停止访问,这样所有新感染的僵尸都处于闲置状态,轮询“Patebin.com”页面。然而,黑客可以随时更新页面到一个新的C&C服务器,以再次控制僵尸网络。

由于Pastebin.com的资源是公开的,研究人员也可以发现有关此操作的更多信息。由于用户名“WHATHAPPEN”于2017年8月21日创建了该资源,因此PyCryptoMiner可能在2017年8月就已经启动了。当研究人员写这篇文章的时候,这个资源已经被查看了177987次了。

Pastebin.com资源元数据

当进一步调查时,研究人员还发现由“WHATHAPPEN”用户创建的更多相关资源似乎都采用了相似的Python脚本,主要区别在于它们正在与不同的C&C服务器通信。

更多相关的Pastebin.com资源

在查询这些C&C服务器的域名“zsw8.cc”时,发现注册人名称为“xinqian Rhys”。

image.png

C&C域名注册数据

此注册人与235个电子邮件地址以及36000多个域相关联。对注册人的快速搜索显示,自2012年以来,他所注册的域名就开始从事诈骗,赌博和成人服务。

成千上万的关联域

与二进制恶意软件替代方案不同,基于 Python 脚本语言,使得 PyCryptoMiner
更容易被混淆、更具规避性。此外,它也是由一个合法的二进制文件执行的。

感染流程

该僵尸网络攻击过程分为几个阶段,如前所述,一旦执行Python脚本,另一个基于僵尸网络就会部署一个简单的base64编码的Python脚本,用于连接C&C服务器来下载和执行额外的Python代码。

Python脚本

控制器脚本通过注册为 Cron
JOB(配置定时任务)在受感染的设备上创建持久性,名为“httpsd”的原始攻击bash脚本包含一个每隔6小时运行一次的base64编码的Python单线程。

将攻击脚本添加到crontab

然后它会收集受感染设备上的信息:

1.主机/ DNS名称;

2.操作系统名称及其架构;

3.CPU数量;

4.CPU使用率。

收集到的信息表明该僵尸网络背后的商业模式就是挖掘加密货币,另外该脚本还会检查设备是否已经被恶意软件感染过,如果被感染过,则受感染的设备的当前正在执行什么任务。这个检查是通过在当前正在运行的进程中搜索几个预定义的恶意软件文件名来完成的。看起来该僵尸网络可以用作加密挖掘节点(运行“httpsd”或“minerd”进程),或者作为扫描节点(运行“webnode”或“safenode”进程)。

“Minerd”和“Scannode”进程

然后,收集到的信息将被发送到C&C,C&C以Python字典的形式回应任务的具体细节。

发送给C&C的受感染节点的侦察报告

发送给C&C的受感染节点的侦察报告

攻击任务包括:

“cmd”:作为一个单独的进程执行的任意命令;

“client_version”:如果从服务器接收到的版本号与当前的僵尸网络版本不同,它将终止僵尸程序并等待cron再次运行矛头脚本以部署更新的版本(当前值为“4”);

“task_hash”:任务标识符,因此C&C可以同步僵尸网络结果,因为每个命令都有不同的执行时间;

“conn_cycler”:轮询由控制的C&C的时间间隔,可能会随着僵尸网络的增长来平衡C&C基础架构上的载荷(默认值为15秒)。

执行任务命令后,设备人会将命令的输出发送到C&C服务器,包括task_hash和僵尸网络标识符。

客户端执行任务并将结果发送给C&C

在研究人员的研究案例中,PyCryptoMiner的bot是一个门罗币矿工,同时也感染了一个名为“wipefs”的二进制可执行文件,这个文件至少在2017年8月13日,就已经被多个安全预防的厂商检测到。

来自VirusTotal的恶意软件信息

可执行文件基于“xmrminer”,该文件正在挖掘门罗币,由于匿名性和不可追述性,现在门罗币已经成为网络犯罪分子的首选。

PyCryptoMiner 通过尝试猜测目标 Linux 设备的 SSH
登录凭证进行传播,如果成功,它将部署一个简单的 base64 编码的 Python
脚本,用于连接 C&C 服务器以下载和执行额外的 Python 代码。

利用最新的JBoss反序列化(CVE-2017-12149)漏洞

该僵尸网络似乎还在发展,12月中旬在WHATHAPPEN的帐户下出现了一个名为“jboss”的新资源。
[图片上传失败…(image-95b7c4-1515721283875)]2017年12月12日,在PasteBin中发现了一个附加文件

“jboss”是一种基于base64编码的python代码,用于
python僵尸网络与C&C服务器的通信。
[图片上传失败…(image-617956-1515721283875)]“jboss”资源是一个基于base64编码的Python代码

这些代码是具有扫描功能的,被用于寻找受CVE-2017-12149漏洞影响的JBoss服务器。它会通过JBoss常用的七个不同的TCP端口向“/
invoker /
readonly”URL发送一个请求,如果服务器响应包含“Jboss”/“jboss”字符串的错误(500状态码),则会将目标URL报告给C&C服务器。

扫描易受攻击的JBoss服务器

要扫描的目标列表由C&C服务器控制,而僵尸网络则有单独的线程轮询C&C服务器以获取新目标。此时服务器会响应一个C类IP范围进行扫描,但也可以提供一个IP地址。

从C&C服务器获取扫描目标

这个 Python
脚本还会收集有关受感染设备的信息,包括主机/DNS名称,操作系统名称和架构、CPU
数量以及 CPU
使用率,它还会检查设备是否已经受到感染,以及受感染的设备是否用于门罗币挖掘或扫描。

门罗币收益

目前PyCryptoMiner使用了两个钱包地址,分别有94和64个门罗币,约价值6万美元。

image.png

研究人员通过 Pastebin[.]com 页面提供的信息确认,PyCryptoMiner 可能在
2017 年 8 月就已经启动。在调查中,该资源已被查看了 177987
次,且每天大约会增加 1000 次左右。

IOCs

哈希值

d47d2aa3c640e1563ba294a140ab3ccd22f987d5c5794c223ca8557b68c25e0d

C&C

hxxp://http://pastebin.com/raw/yDnzKz72

hxxp://http://pastebin.com/raw/rWjyEGDq

hxxp://http://k.zsw8.cc:8080
(104.223.37.150)

hxxp://http://i.zsw8.cc:8080
(103.96.75.115)

hxxp://208.92.90.51

hxxp://208.92.90.51:443

hxxp://104.223.37.150:8090

影响的设备

/tmp/VWTFEdbwdaEjduiWar3adW

/bin/httpsd

/bin/wipefs

/bin/wipefse

/bin/minerd

/bin/webnode

/bin/safenode

/tmp/tmplog


如果你觉得这篇文章不错,不如动动你的小手,关注一下我?

ca88yzc 2

在查询这些 C&C 服务器的域名“zsw8.cc”时,发现注册人名称是“xinqian Rhys”

ca88yzc 3

ca88yzc 4

域名注册人与超过 3.6 万个域名相关联,其中一些域名自 2012
年以来一直以诈骗、赌博和成人服务而闻名。

PyCryptoMiner 使用了两个钱包地址,分别有 94 和 64 个门罗币,价值约为 4.6
万美元。

ca88yzc 5

ca88yzc 6

【编辑推荐】

相关文章

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注