當前位置:
首頁 > 新聞 > 加密貨幣挖礦殭屍通過潛在的垃圾網站攻擊運行SSH服務的設備

加密貨幣挖礦殭屍通過潛在的垃圾網站攻擊運行SSH服務的設備

新聞 07-03

在物聯網設備上進行加密貨幣挖礦一直是一個有爭議的話題,因為物聯網設備的計算能力一般不強。但黑市上仍有提供攻擊聯網設備加密貨幣挖礦的惡意軟體。

研究人員部署的蜜罐探測器近期檢測到與IP地址192.158.228.46相關的挖礦殭屍,該蜜罐探測器可以模擬SSH、telnet、FTP等服務。該IP地址搜索SSH和IOT相關的埠,包括22、2222和502埠。在特定攻擊中,IP會在22埠上載入SSH服務。該攻擊適用於所有運行SSH服務的伺服器和聯網設備。

潛在的金融詐騙站點也在挖礦

殭屍主機會搜尋打開了遠程桌面協議(Remote Desktop Protoco,RDP)埠的設備,攻擊者可以利用該埠有漏洞的設備。一旦攻擊者發現設備可以被利用,就會嘗試運行wget命令來下載一個腳本,隨後運行該腳本並安裝惡意軟體。

操作的模型是殭屍使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/來存放惡意腳本mservice_2_5.sh。該腳本隨後會從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz處下載文件並保存到/tmp文件夾目錄下。(該攻擊活動應該是中國人發起的,因為域名翻譯過來是「一路賺錢」)。這種技術廣泛應用於針對Linux操作系統的伺服器利用技術。這種殭屍可以在Linux系統上載入挖礦機,殭屍還有一個駐留機制添加在installer腳本中,腳本可以在crontab(定時任務)中添加任務。

在檢查腳本嘗試下載文件的網站時,研究人員發現該站點是一個金融詐騙網站。從攻擊者的行為頻段,第一個URL應該是跳板點(jumping-off point)。也就是說,如果該鏈接被攔截了,攻擊者轉向另一個域名就可以繼續運營了。

通過社會工程攻擊,用戶會被誘騙安裝挖礦機。詐騙站點看起來是一個普通的網站,但研究人員分析發現有一篇博客hxxps://www[.]zjian[.]blog/148[.]html和視頻教學頁面hxxps://www[.]bilibili[.]com/video/av19589235/,講述了如何進行幫助挖礦。

技術細節

mservice_2_5.sh腳本運行後,首先ping baidu.com來檢查網路連接狀態。

圖1. 腳本檢查網路連接

然後確定運行的操作系統。

圖2. 判斷OS平台

然後惡意軟體會設定user ID,如果開始沒有提供user ID參數,就設置為2。設備名也被設置為命令的輸出:

圖3. 設置設備名

然後設置hugepage和memlock來增強設備的性能,這樣可以讓更多的運算能力用於加密貨幣挖礦:

圖4. 設置Hugepage和memlock

這些都設置完成後,腳本就會下載挖礦機,並且會偽裝成 libhwloc4庫,然後提取到/opt文件夾,運行下面的命令:

圖5. 下載挖礦機

惡意腳本還含有一個基本的駐留機制來確保設備重啟後繼續挖礦:

圖6. 惡意腳本使用駐留機制

圖7. 在被攻擊的主機上創建的文件結構

文件cmd.txt列出了運行mservice二進位文件的參數,然後會安裝真實的挖礦機YiluzhuanqianSer:

圖8. 安裝的加密貨幣挖礦機

然後在conf.json文件中有一個webshell/backdoor。同時,work目錄含有2個二進位文件和含有運行挖礦機命令的文件cmd.txt。參數保存在workers.json文件中:

圖9. conf.json中的Web shell/backdoor

圖10. 工作目錄

圖11. workers.json中的參數

前面也提到過,這類針對聯網設備進行挖礦的活動並不少見。而且,使用殭屍來攻擊IoT設備的安全事件也常常出現在新聞中,其中最著名就是Mirai殭屍網路。使用殭屍網路可能是攻擊者使用IoT設備最主流的方式之一。單個被黑的設備可能運算能力不足,但當惡意軟體以殭屍的形式傳播時,一個挖礦殭屍軍團就出現了,而且挖礦能力十足。

緩解

在用戶設備上進行加密貨幣挖礦會消耗大量電量並且耗盡計算能力。因此,需要使用標準的安全措施來緩解風險,比如:

· 定期更新設備固件來避免利用已知漏洞的攻擊;

· 改變設備的默認憑證,使用強口令來避免未授權的訪問;

· 注意已知的攻擊單元,如社會攻擊鏈接、附件、不同網站的文件、第三方應用、郵件等。

IOCs

文件名:

mservice_2_5.sh

yilu.tgz

yilu_2_5.tgz

URL:

hxxp://p1v24z97c[.]bkt[.]clouddn[.]com

hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz

IP地址:

114.114.114.114

192.158.22.46

目的埠:

1993, 1992

相關哈希值(COINMINER_TOOLXMR.O-ELF,SHA256):

·adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe

·6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

攻擊新套路:在MS Office文檔中嵌入Flash 0day漏洞
Check Point安全研究人員針對UPAS Kit與Kronos銀行木馬的分析(一)

TAG:嘶吼RoarTalk |