加密貨幣挖礦殭屍通過潛在的垃圾網站攻擊運行SSH服務的設備
在物聯網設備上進行加密貨幣挖礦一直是一個有爭議的話題,因為物聯網設備的計算能力一般不強。但黑市上仍有提供攻擊聯網設備加密貨幣挖礦的惡意軟體。
研究人員部署的蜜罐探測器近期檢測到與IP地址192.158.228.46相關的挖礦殭屍,該蜜罐探測器可以模擬SSH、telnet、FTP等服務。該IP地址搜索SSH和IOT相關的埠,包括22、2222和502埠。在特定攻擊中,IP會在22埠上載入SSH服務。該攻擊適用於所有運行SSH服務的伺服器和聯網設備。
潛在的金融詐騙站點也在挖礦
殭屍主機會搜尋打開了遠程桌面協議(Remote Desktop Protoco,RDP)埠的設備,攻擊者可以利用該埠有漏洞的設備。一旦攻擊者發現設備可以被利用,就會嘗試運行wget命令來下載一個腳本,隨後運行該腳本並安裝惡意軟體。
操作的模型是殭屍使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/來存放惡意腳本mservice_2_5.sh。該腳本隨後會從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz處下載文件並保存到/tmp文件夾目錄下。(該攻擊活動應該是中國人發起的,因為域名翻譯過來是「一路賺錢」)。這種技術廣泛應用於針對Linux操作系統的伺服器利用技術。這種殭屍可以在Linux系統上載入挖礦機,殭屍還有一個駐留機制添加在installer腳本中,腳本可以在crontab(定時任務)中添加任務。
在檢查腳本嘗試下載文件的網站時,研究人員發現該站點是一個金融詐騙網站。從攻擊者的行為頻段,第一個URL應該是跳板點(jumping-off point)。也就是說,如果該鏈接被攔截了,攻擊者轉向另一個域名就可以繼續運營了。
通過社會工程攻擊,用戶會被誘騙安裝挖礦機。詐騙站點看起來是一個普通的網站,但研究人員分析發現有一篇博客hxxps://www[.]zjian[.]blog/148[.]html和視頻教學頁面hxxps://www[.]bilibili[.]com/video/av19589235/,講述了如何進行幫助挖礦。
技術細節
mservice_2_5.sh腳本運行後,首先ping baidu.com來檢查網路連接狀態。
圖1. 腳本檢查網路連接
然後確定運行的操作系統。
圖2. 判斷OS平台
然後惡意軟體會設定user ID,如果開始沒有提供user ID參數,就設置為2。設備名也被設置為命令的輸出:
圖3. 設置設備名
然後設置hugepage和memlock來增強設備的性能,這樣可以讓更多的運算能力用於加密貨幣挖礦:
圖4. 設置Hugepage和memlock
這些都設置完成後,腳本就會下載挖礦機,並且會偽裝成 libhwloc4庫,然後提取到/opt文件夾,運行下面的命令:
圖5. 下載挖礦機
惡意腳本還含有一個基本的駐留機制來確保設備重啟後繼續挖礦:
圖6. 惡意腳本使用駐留機制
圖7. 在被攻擊的主機上創建的文件結構
文件cmd.txt列出了運行mservice二進位文件的參數,然後會安裝真實的挖礦機YiluzhuanqianSer:
圖8. 安裝的加密貨幣挖礦機
然後在conf.json文件中有一個webshell/backdoor。同時,work目錄含有2個二進位文件和含有運行挖礦機命令的文件cmd.txt。參數保存在workers.json文件中:
圖9. conf.json中的Web shell/backdoor
圖10. 工作目錄
圖11. workers.json中的參數
前面也提到過,這類針對聯網設備進行挖礦的活動並不少見。而且,使用殭屍來攻擊IoT設備的安全事件也常常出現在新聞中,其中最著名就是Mirai殭屍網路。使用殭屍網路可能是攻擊者使用IoT設備最主流的方式之一。單個被黑的設備可能運算能力不足,但當惡意軟體以殭屍的形式傳播時,一個挖礦殭屍軍團就出現了,而且挖礦能力十足。
緩解
在用戶設備上進行加密貨幣挖礦會消耗大量電量並且耗盡計算能力。因此,需要使用標準的安全措施來緩解風險,比如:
· 定期更新設備固件來避免利用已知漏洞的攻擊;
· 改變設備的默認憑證,使用強口令來避免未授權的訪問;
· 注意已知的攻擊單元,如社會攻擊鏈接、附件、不同網站的文件、第三方應用、郵件等。
IOCs
文件名:
mservice_2_5.sh
yilu.tgz
yilu_2_5.tgz
URL:
hxxp://p1v24z97c[.]bkt[.]clouddn[.]com
hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz
IP地址:
114.114.114.114
192.158.22.46
目的埠:
1993, 1992
相關哈希值(COINMINER_TOOLXMR.O-ELF,SHA256):
·adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe
·6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※攻擊新套路:在MS Office文檔中嵌入Flash 0day漏洞
※Check Point安全研究人員針對UPAS Kit與Kronos銀行木馬的分析(一)
TAG:嘶吼RoarTalk |