SSH殭屍主機挖礦木馬預警

XMR（門羅幣）是目前比特幣等電子貨幣的一種，以其匿名性，支持CPU挖礦，以及不菲的價格等特點，得到了「黑產」的青睞。瀚思科技挖掘出黑產利用互聯網伺服器進行挖礦的通用模式，以及多個挖礦後台更新伺服器。攻擊和挖礦方式顯示黑產組織在相互競爭、木馬更新等方面較去年又上了一個台階。

門羅幣價格走勢圖

事件描述

近日，黑客利用SSH暴力破解伺服器後種植挖礦木馬，我們追蹤到了其多個後台更新伺服器。

黑客攻擊伺服器與種植挖礦木馬過程包括三個步驟：

1. 攻擊者探測SSH服務

2. 攻擊者對SSH服務賬戶和密碼進行暴力破解

3. 一旦暴力破解成功，攻擊者遠程下載並運行挖礦程序

下圖是一個挖礦木馬後台伺服器的截圖，從圖中可以看出116.196.120.20這台伺服器從2018年1月26日14點開始，xm.sh(下載器程序)已經被下載過1277次。在對其監控的過程中，發現各個程序也在做頻繁的更新。

其中：

1. 程序Carbon是實際使用的挖礦程序。

2. 文件xm.sh是在成功登錄伺服器後執行的shell程序。

這段代碼包括了三部分：

· 攻擊者首先殺掉其他的挖礦程序，來保證自身的收益。註：黑產中的競爭也是越來越激烈了。

· 遠程下載伺服器上對應的挖礦程序。

· 配置好礦池以及錢包地址，執行挖礦程序。

3.文件xmm.sh是更新後的shell程序，與xm.sh相比，修改了礦池鏈接。目的是選擇更高算力的礦池。

4.程序1.ps1是windows平台下類似xm.sh的腳本程序，同樣實現類似的三個功能，首先kill其他的挖礦程序，然後遠程下載伺服器上對應的的挖礦程序，最後配置好礦池以及錢包地址，執行挖礦程序。

5.程序Server.exe是一個遠控木馬程序，在執行後連接dx.777craft.com:7777。

挖礦黑客之間的競爭愈發激烈

對比之前發現的同類型挖礦木馬，本次發現的挖礦木馬在代碼上已經有了進一步的提升，之前發現的挖礦腳本，主要殺掉具體進程名，目前主要根據礦池信息殺掉挖礦進程，擴大了有效範圍。下圖是兩種類型挖礦木馬殺掉其他木馬的方式比較：

黑客的獲利估計

從目前的樣本獲取的錢包地址來看，之前的挖礦幣池已經向攻擊者的錢包提交了34個XMR（約合8500美元，以當天價格$250計算）。但由於被礦池判定為殭屍網路非法挖礦，該錢包剩餘的7個XMR已被凍結：

因此，攻擊者通過殺掉了自己之前的挖礦程序，再次註冊了新的錢包地址進行挖礦，目前新地址錢包的金額如下圖，可以看出15天前已經修改了新的挖礦地址。

從目前掌握的情報，綜合溯源到的10多台伺服器訪問信息、錢包地址，該攻擊者目前至少已經控制了3萬多台主機，獲取了約300多個門羅幣，以目前的XMR（門羅幣）價格已近10萬美元。

挖礦相關IoC：

IP地址：

116.196.86.246:7800116.196.120.20:7800210.76.63.207:3721182.18.22.71:80

domain：

dx.777craft.com:7777

錢包地址：

46SDR76rJ2J6MtmP3ZZKi9cEA5RQCrYgag7La3CxEootQeAQULPE2CHJQ4MRZ5wZ1T73Kw6Kx4Lai2dFLAacjerbPzb5Ufg47X8knnXfd2WWr7q3DigPTTSiAtpqawVmhQuCGzTBmmULy75u7KyZMZPzn1r23oHn3QUJFcwBqp6rbaJAzigr9U5SscpVW8

*本文作者：瀚思科技，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！