XMR门罗币挖矿病毒订上服务器Linux系统

[复制链接]
23788 |1
发表于 2018-1-10 12:27:50 | 显示全部楼层 |阅读模式
E安全1月10日讯 F5 Networks公司指出,近期出现的Linux加密货币采矿僵尸网络PyCryptoMiner采用Python脚本语言,具有很强的隐蔽性,其通过SSH实现传播。与其它采取硬编码命令与控制(C&C)服务器地址的恶意软件(一旦C&C服务器无法访问,恶意软件则停止运作)不同,PyCryptoMiner僵尸网络会在初始服务器不可用时利用便签网站Pastebin发布其它备选C&C服务器地址,持续运作。

4ffce04d92a4d6cb21c1494cdfcd6dc1.jpg

4ffce04d92a4d6cb21c1494cdfcd6dc1.jpg


PyCryptoMiner僵尸网络会在初始C&C服务器不可用时,利用Pastebin从新的C&C服务器处接收指令。在恶意人士的积极开发之下,该僵尸网络最近还新增了扫描功能,可以搜索易受攻击的开源JBoss服务器(利用CVE-2017-12149漏洞)。
Pastebin是一个便签网站,可以很方便的复制粘贴你的文本内容然后做成便签分享,很多黑客团队喜欢把自己的攻击成果(比如数据库、代码)贴在网站上来炫耀,2015年黑客开始利用Pastebin来传播后门。

根据估计,截至2017年12月底,PyCryptoMiner僵尸网络凭借门罗币这一加密货币所获得的收入已经达到4.6万美元(约合人民币30万元)左右。
PyCryptoMiner绝不是针对Linux系统的惟一僵尸网络威胁,基于脚本语言让该恶意软件更易被混淆。此外,F5公司的研究人员们还发现PyCryptoMiner拥有合法的二进制执行文件。

PyCryptoMiner的僵尸网络感染过程

该僵尸网络通过猜测目标Linux设备上的SSH登录凭证进行传播,一旦猜测成功,攻击肉鸡就会部署一套简单的base64编码Python传播脚本,专门用于接入C&C服务器以下载并执行其它Python代码。
第二阶段代码主要为肉鸡控制器,其会在受感染设备上注册一项cron作业以实现持久驻留。
原本的bash脚本还能够在受感染设备上收集各类信息,具体包括主机/DNS名称、操作系统名称与架构、CPU数量以及CPU使用情况等。此外,其还会检查目标设备是否已经受到感染,是否已被用于进行加密货币采矿或扫描。
该肉鸡随后会将收集到的信息发送至C&C服务器,而C&C则回复操作细节。后续操作任务包括执行任意命令、更新以及用于同步僵尸网络结果的标识符,外加轮询C&C服务器的时间间隔等。肉鸡会将任务的执行输出结果发送至C&C服务器处。
2017年12月中旬,该僵尸网络迎来一波代码更新,试图利用数个月前披露的漏洞CVE-2017-12149扫描易受攻击的JBoss服务器。
研究人员们指出,“待扫描的目标列表由C&C服务器负责控制,而肉鸡端则拥有一个单独的线程对C&C服务器进行轮询,借以获取新的目标。服务器使用C类IP地址范段响应扫描,但亦可提供单一IP地址。”
该僵尸网络使用两套地址池,各拥有94个与64个门罗币,总价值约在6万美元(约合人民币39万元)左右。该恶意软件背后的操控者到底获得了多少利润不得而知。

4ffce04d92a4d6cb21c1494cdfcd6dc1-y9e.jpg

4ffce04d92a4d6cb21c1494cdfcd6dc1-y9e.jpg


利用Pastebin让恶意软件持续运作
与其它采取硬编码C&C服务器地址的恶意软件(一旦C&C服务器无法访问,恶意软件则停止运作)不同,本僵尸网络会在初始服务器不可用时利用Pastebin发布其它备选C&C服务器地址。
根据F5方面的说法,目前该僵尸网络的所有C&C服务器都已经无法访问,所有新感染的肉鸡设备皆处于空闲状态,并不断轮询攻击者的Pstebin.com页面以待其更新。研究人员们根据该页面判断PyCryptoMiner僵尸网络很可能启动于2017年8月,截至调查之时已经被查看了17万7987次。
PyCryptoMiner僵尸网络规模未知
研究人员目前还无法确定该僵尸网络的具体规模,这主要是因为一旦C&C服务器下线,肉鸡设备将定期进行资源访问并发出大量请求。PyCryptoMiner僵尸网络的幕后操纵者昵称为“WHATHAPPEN”,且研究人员还发现有235个与之相关的邮件地址以及超过36000个相关域名。自2012年以来,该注册者不断参与各类诈骗、赌博与成人服务。
F5公司表示,为找寻更多重要线索,研究仍在继续。例如其中的“扫描工具节点”组件以及其它C&C服务器。一旦各个C&C服务器重新恢复运作,将会获取到更多详细信息。
回复

使用道具 举报

发表于 2018-1-11 06:52:14 | 显示全部楼层
好危险
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表