矿业资讯 ·

XMR门罗币挖矿病毒订上服务器Linux系统

E安全1月10日讯 F5 Networks公司指出,近期出现的Linux加密货币采矿僵尸网络PyCryptoMiner采用Python脚本语言,具有很强的隐蔽性,其通过SSH实现传播。与其它采取硬编码命令与控制(C&C)服务器地址的恶意软件(一旦C&C服务器无法访问,恶意软件则停止运作)不同,PyCryptoMiner僵尸网络会在初始服务器不可用时利用便签网站Pastebin发布其它备选C&C服务器地址,持续运作。

PyCryptoMiner僵尸网络会在初始C&C服务器不可用时,利用Pastebin从新的C&C服务器处接收指令。在恶意人士的积极开发之下,该僵尸网络最近还新增了扫描功能,可以搜索易受攻击的开源JBoss服务器(利用CVE-2017-12149漏洞)。

Pastebin是一个便签网站,可以很方便的复制粘贴你的文本内容然后做成便签分享,很多黑客团队喜欢把自己的攻击成果(比如数据库、代码)贴在网站上来炫耀,2015年黑客开始利用Pastebin来传播后门。

根据估计,截至2017年12月底,PyCryptoMiner僵尸网络凭借门罗币这一加密货币所获得的收入已经达到4.6万美元(约合人民币30万元)左右。

PyCryptoMiner绝不是针对Linux系统的惟一僵尸网络威胁,基于脚本语言让该恶意软件更易被混淆。此外,F5公司的研究人员们还发现PyCryptoMiner拥有合法的二进制执行文件。

PyCryptoMiner的僵尸网络感染过程

该僵尸网络通过猜测目标Linux设备上的SSH登录凭证进行传播,一旦猜测成功,攻击肉鸡就会部署一套简单的base64编码Python传播脚本,专门用于接入C&C服务器以下载并执行其它Python代码。

第二阶段代码主要为肉鸡控制器,其会在受感染设备上注册一项cron作业以实现持久驻留。

原本的bash脚本还能够在受感染设备上收集各类信息,具体包括主机/DNS名称、操作系统名称与架构、CPU数量以及CPU使用情况等。此外,其还会检查目标设备是否已经受到感染,是否已被用于进行加密货币采矿或扫描。

该肉鸡随后会将收集到的信息发送至C&C服务器,而C&C则回复操作细节。后续操作任务包括执行任意命令、更新以及用于同步僵尸网络结果的标识符,外加轮询C&C服务器的时间间隔等。肉鸡会将任务的执行输出结果发送至C&C服务器处。

2017年12月中旬,该僵尸网络迎来一波代码更新,试图利用数个月前披露的漏洞CVE-2017-12149扫描易受攻击的JBoss服务器。

研究人员们指出,“待扫描的目标列表由C&C服务器负责控制,而肉鸡端则拥有一个单独的线程对C&C服务器进行轮询,借以获取新的目标。服务器使用C类IP地址范段响应扫描,但亦可提供单一IP地址。”

该僵尸网络使用两套地址池,各拥有94个与64个门罗币,总价值约在6万美元(约合人民币39万元)左右。该恶意软件背后的操控者到底获得了多少利润不得而知。

利用Pastebin让恶意软件持续运作

与其它采取硬编码C&C服务器地址的恶意软件(一旦C&C服务器无法访问,恶意软件则停止运作)不同,本僵尸网络会在初始服务器不可用时利用Pastebin发布其它备选C&C服务器地址。

根据F5方面的说法,目前该僵尸网络的所有C&C服务器都已经无法访问,所有新感染的肉鸡设备皆处于空闲状态,并不断轮询攻击者的Pstebin.com页面以待其更新。研究人员们根据该页面判断PyCryptoMiner僵尸网络很可能启动于2017年8月,截至调查之时已经被查看了17万7987次。

PyCryptoMiner僵尸网络规模未知

研究人员目前还无法确定该僵尸网络的具体规模,这主要是因为一旦C&C服务器下线,肉鸡设备将定期进行资源访问并发出大量请求。PyCryptoMiner僵尸网络的幕后操纵者昵称为“WHATHAPPEN”,且研究人员还发现有235个与之相关的邮件地址以及超过36000个相关域名。自2012年以来,该注册者不断参与各类诈骗、赌博与成人服务。

F5公司表示,为找寻更多重要线索,研究仍在继续。例如其中的“扫描工具节点”组件以及其它C&C服务器。一旦各个C&C服务器重新恢复运作,将会获取到更多详细信息。

参与评论