比特幣沒落，門羅幣崛起：新的Linux 門羅幣挖礦工具——PyCryptoMiner

新聞 01-11

現在比特幣似乎已經不是黑客們的最愛了，由於過去比特幣一直被認為是「犯罪貨幣」，所以執法機構已經開發出追蹤技術來調查比特幣的交易記錄了。而門羅幣的不可追蹤性，決定了它未來必然會受到黑客的歡迎。

據coinmarketcap.com的數據顯示，門羅幣的價格在2017年最後兩個月翻了兩倍至349美元，而同期比特幣大約只翻了一倍左右，所以最近出現了大量的針對門羅幣的挖掘事件。

這不最近，F5 Networks的安全研究人員又發現了一個名為PyCryptoMiner的新的Linux 門羅幣挖礦殭屍網路，而且是可以通過SSH協議進行傳播新的Linux加密殭屍網路。

有的時候，用python來解密比用C++快很多，省去了很多建工程的力氣。所以Python是每一個加密解密人員必備的一門語言。不過如果安全人員的系統是Linux，那麼就可以輕鬆地完成python的安裝過程，但如果安全人員的系統是Winodws，那麼就需要在Windows上重新編譯。所以python的使用系統一般都是在Linux上，這也就不難理解為什麼本次的PyCryptoMiner只針對Linux了。另外由於過去一年，黑客利用殭屍網路進行挖礦的勢頭迅猛，所以許多安全解決方案都增加了這方面的檢測。鑒於此，黑客開發的挖礦工具也是與時俱進，具有了更多的隱蔽性。PyCryptoMiner殭屍網路就是基於Python腳本語言，這樣PyCryptoMiner就會偽裝成一個合法的二進位文件來執行挖礦過程，但這個過程由於被混淆過了，所以很難被檢測到。

截止發文前，研究人員已在黑客的兩個PyCryptoMiner錢包地址中，分別發現了94和64個門羅幣，約價值6萬美元，而這只是所獲利的一小部分。

PyCryptoMiner的攻擊過程

針對Linux系統構建殭屍網路已是非常普遍的攻擊媒介了，特別是在物聯網設備興起的最近幾年，基於Python的腳本語言，似乎已成攻擊趨勢。與二進位惡意軟體替代方案不同的是，基於腳本語言的惡意軟體本質上更能逃避檢測，因為它可能很容易被混淆，另外它也是由一個合法的二進位文件執行的，它可能是幾乎所有Linux/Windows發行版中的PERL/ Python/Bash/Go/PowerShell解釋器之一。

混淆Python腳本

PyCryptoMiner通過嘗試猜測目標Linux系統的SSH登錄憑據進行傳播。一旦SSH憑證被猜出，殭屍網路就會部署一個簡單的base64編碼的Python腳本，用於連接C＆C伺服器來下載和執行額外的Python代碼。

基於Python腳本語言，所以很難被檢測到；在C＆C伺服器不可用時，PyCryptoMiner會利用Pastebin[.]com（在用戶名「WHATHAPPEN」下）接收新的C＆C伺服器分配。根據目前的調查，「WHATHAPPEN」已與3.6萬多個域名相關聯，其中一些域名自2012年以來就開始實施詐騙、賭博和色情服務。

另外研究人員發現該殭屍網路最近又增加了它是一個掃描程序，被用於尋找受CVE-2017-12149漏洞影響的JBoss伺服器。JBOSSApplication Server反序列化命令執行漏洞(CVE-2017-12149)，遠程黑客利用漏洞可在未經任何身份驗證的伺服器主機上執行任意代碼。由於該漏洞的細節和驗證代碼已公開，所以出現了大規模利用該漏洞嘗試的攻擊。

但是，這個殭屍網路的開發者非常聰明。由於大多數惡意軟體都會對C＆C伺服器的地址進行硬編碼，所以當原始C＆C伺服器不可用時，就會出現伺服器無法告知殭屍網路已切換到另一台C＆C伺服器的情況。因此，如果原地址不可用的話，黑客就會使用Pastebin.com來發布一個替代的C＆C伺服器地址。

在Pastebin.com上託管的備用C＆C伺服器地址

黑客需要面對的挑戰之一是如何保持可持續的C＆C基礎架構，而不被企業安全解決方案快速列入黑名單，或者在執法和安全廠商的濫用報告之後經常被ISP和託管服務關閉。

因此黑客開始使用的更複雜的方法，就是公共文件託管服務，如Dropbox.com和Pastebin.com，這些服務不能輕易被列入黑名單或關閉。這種技術還允許黑客在需要時可更新C＆C伺服器的地址。

值得注意的是，在寫本文時，殭屍網路的C＆C伺服器已被停止訪問，這樣所有新感染的殭屍都處於閑置狀態，輪詢「Patebin.com」頁面。然而，黑客可以隨時更新頁面到一個新的C＆C伺服器，以再次控制殭屍網路。

由於Pastebin.com的資源是公開的，研究人員也可以發現有關此操作的更多信息。由於用戶名「WHATHAPPEN」於2017年8月21日創建了該資源，因此PyCryptoMiner可能在2017年8月就已經啟動了。當研究人員寫這篇文章的時候，這個資源已經被查看了177987次了。

Pastebin.com資源元數據

當進一步調查時，研究人員還發現由「WHATHAPPEN」用戶創建的更多相關資源似乎都採用了相似的Python腳本，主要區別在於它們正在與不同的C＆C伺服器通信。

更多相關的Pastebin.com資源

在查詢這些C＆C伺服器的域名「zsw8.cc」時，發現註冊人名稱為「xinqian Rhys」。

C＆C域名註冊數據

此註冊人與235個電子郵件地址以及36000多個域相關聯。對註冊人的快速搜索顯示，自2012年以來，他所註冊的域名就開始從事詐騙，賭博和成人服務。

成千上萬的關聯域

感染流程

該殭屍網路攻擊過程分為幾個階段，如前所述，一旦執行Python腳本，另一個基於殭屍網路就會部署一個簡單的base64編碼的Python腳本，用於連接C＆C伺服器來下載和執行額外的Python代碼。

Python腳本

控制器腳本通過註冊為 Cron JOB（配置定時任務）在受感染的設備上創建持久性，名為「httpsd」的原始攻擊bash腳本包含一個每隔6小時運行一次的base64編碼的Python單線程。

將攻擊腳本添加到crontab

然後它會收集受感染設備上的信息：

1.主機/ DNS名稱；

2.操作系統名稱及其架構；

3.CPU數量；

4.CPU使用率。

收集到的信息表明該殭屍網路背後的商業模式就是挖掘加密貨幣，另外該腳本還會檢查設備是否已經被惡意軟體感染過，如果被感染過，則受感染的設備的當前正在執行什麼任務。這個檢查是通過在當前正在運行的進程中搜索幾個預定義的惡意軟體文件名來完成的。看起來該殭屍網路可以用作加密挖掘節點（運行「httpsd」或「minerd」進程），或者作為掃描節點（運行「webnode」或「safenode」進程）。

「Minerd」和「Scannode」進程

然後，收集到的信息將被發送到C＆C，C＆C以Python字典的形式回應任務的具體細節。

發送給C＆C的受感染節點的偵察報告

攻擊任務包括：

「cmd」：作為一個單獨的進程執行的任意命令；

「client_version」：如果從伺服器接收到的版本號與當前的殭屍網路版本不同，它將終止殭屍程序並等待cron再次運行矛頭腳本以部署更新的版本（當前值為「4」）；

「task_hash」：任務標識符，因此C＆C可以同步殭屍網路結果，因為每個命令都有不同的執行時間；

「conn_cycler」：輪詢由控制的C＆C的時間間隔，可能會隨著殭屍網路的增長來平衡C＆C基礎架構上的載荷（默認值為15秒）。

執行任務命令後，設備人會將命令的輸出發送到C＆C伺服器，包括task_hash和殭屍網路標識符。

客戶端執行任務並將結果發送給C＆C

在研究人員的研究案例中，PyCryptoMiner的bot是一個門羅幣礦工，同時也感染了一個名為「wipefs」的二進位可執行文件，這個文件至少在2017年8月13日，就已經被多個安全預防的廠商檢測到。

來自VirusTotal的惡意軟體信息

可執行文件基於「xmrminer」，該文件正在挖掘門羅幣，由於匿名性和不可追述性，現在門羅幣已經成為網路犯罪分子的首選。

利用最新的JBoss反序列化（CVE-2017-12149）漏洞

該殭屍網路似乎還在發展，12月中旬在WHATHAPPEN的帳戶下出現了一個名為「jboss」的新資源。

2017年12月12日，在PasteBin中發現了一個附加文件

「jboss」是一種基於base64編碼的python代碼，用於 python殭屍網路與C&C伺服器的通信。

「jboss」資源是一個基於base64編碼的Python代碼

這些代碼是具有掃描功能的，被用於尋找受CVE-2017-12149漏洞影響的JBoss伺服器。它會通過JBoss常用的七個不同的TCP埠向「/ invoker / readonly」URL發送一個請求，如果伺服器響應包含「Jboss」/「jboss」字元串的錯誤（500狀態碼），則會將目標URL報告給C＆C伺服器。