基於Python的挖礦殭屍出沒，小心你的Linux

E安全1月10日訊 F5 Networks公司指出，近期出現的Linux加密貨幣採礦殭屍網路PyCryptoMiner採用Python腳本語言，具有很強的隱蔽性，其通過SSH實現傳播。與其它採取硬編碼命令與控制（C&C）伺服器地址的惡意軟體（一旦C&C伺服器無法訪問，惡意軟體則停止運作）不同，PyCryptoMiner殭屍網路會在初始伺服器不可用時利用便簽網站Pastebin發布其它備選C&C伺服器地址，持續運作。

PyCryptoMiner殭屍網路會在初始C&C伺服器不可用時，利用Pastebin從新的C&C伺服器處接收指令。在惡意人士的積極開發之下，該殭屍網路最近還新增了掃描功能，可以搜索易受攻擊的開源JBoss伺服器（利用CVE-2017-12149漏洞）。

Pastebin是一個便簽網站，可以很方便的複製粘貼你的文本內容然後做成便簽分享，很多黑客團隊喜歡把自己的攻擊成果（比如資料庫、代碼）貼在網站上來炫耀，2015年黑客開始利用Pastebin來傳播後門。

根據估計，截至2017年12月底，PyCryptoMiner殭屍網路憑藉門羅幣這一加密貨幣所獲得的收入已經達到4.6萬美元（約合人民幣30萬元）左右。

PyCryptoMiner絕不是針對Linux系統的惟一殭屍網路威脅，基於腳本語言讓該惡意軟體更易被混淆。此外，F5公司的研究人員們還發現PyCryptoMiner擁有合法的二進位執行文件。

PyCryptoMiner的殭屍網路感染過程

該殭屍網路通過猜測目標Linux設備上的SSH登錄憑證進行傳播，一旦猜測成功，攻擊肉雞就會部署一套簡單的base64編碼Python傳播腳本，專門用於接入C&C伺服器以下載並執行其它Python代碼。

第二階段代碼主要為肉雞控制器，其會在受感染設備上註冊一項cron作業以實現持久駐留。

原本的bash腳本還能夠在受感染設備上收集各類信息，具體包括主機/DNS名稱、操作系統名稱與架構、CPU數量以及CPU使用情況等。此外，其還會檢查目標設備是否已經受到感染，是否已被用於進行加密貨幣採礦或掃描。

該肉雞隨後會將收集到的信息發送至C&C伺服器，而C&C則回復操作細節。後續操作任務包括執行任意命令、更新以及用於同步殭屍網路結果的標識符，外加輪詢C&C伺服器的時間間隔等。肉雞會將任務的執行輸出結果發送至C&C伺服器處。

2017年12月中旬，該殭屍網路迎來一波代碼更新，試圖利用數個月前披露的漏洞CVE-2017-12149掃描易受攻擊的JBoss伺服器。

研究人員們指出，「待掃描的目標列表由C&C伺服器負責控制，而肉雞端則擁有一個單獨的線程對C&C伺服器進行輪詢，藉以獲取新的目標。伺服器使用C類IP地址范段響應掃描，但亦可提供單一IP地址。」

該殭屍網路使用兩套地址池，各擁有94個與64個門羅幣，總價值約在6萬美元（約合人民幣39萬元）左右。該惡意軟體背後的操控者到底獲得了多少利潤不得而知。

利用Pastebin讓惡意軟體持續運作

與其它採取硬編碼C&C伺服器地址的惡意軟體（一旦C&C伺服器無法訪問，惡意軟體則停止運作）不同，本殭屍網路會在初始伺服器不可用時利用Pastebin發布其它備選C&C伺服器地址。

根據F5方面的說法，目前該殭屍網路的所有C&C伺服器都已經無法訪問，所有新感染的肉雞設備皆處於空閑狀態，並不斷輪詢攻擊者的Pstebin.com頁面以待其更新。研究人員們根據該頁面判斷PyCryptoMiner殭屍網路很可能啟動於2017年8月，截至調查之時已經被查看了17萬7987次。

PyCryptoMiner殭屍網路規模未知

研究人員目前還無法確定該殭屍網路的具體規模，這主要是因為一旦C&C伺服器下線，肉雞設備將定期進行資源訪問並發出大量請求。PyCryptoMiner殭屍網路的幕後操縱者昵稱為「WHATHAPPEN」，且研究人員還發現有235個與之相關的郵件地址以及超過36000個相關域名。自2012年以來，該註冊者不斷參與各類詐騙、賭博與成人服務。

F5公司表示，為找尋更多重要線索，研究仍在繼續。例如其中的「掃描工具節點」組件以及其它C&C伺服器。一旦各個C&C伺服器重新恢復運作，將會獲取到更多詳細信息。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/849097201.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！