比特币没落,门罗币崛起:新的Linux 门罗币挖矿工具——PyCryptoMiner

今昔可比特币似乎已休是黑客们的极爱了,由于过去较特币一直为当是“犯罪货币”,所以执法机关都出出追踪技术来考察于特币的市记录了。而家罗币的不足追踪性,决定了它未来必然会吃黑客的接。

据coinmarketcap.com的数额显示,门罗币的标价以2017年末两只月翻了点儿加倍至349美元,而同期于特币大约只有翻了相同倍增左右,所以近年来起了大气底对门罗币的挖沙事件。

眼看不最近,F5
Networks的平安研究人员以发现了一个号称也PyCryptoMiner的初的Linux
门罗币挖矿僵尸网络,而且是好由此SSH协议进行传播新的Linux加密僵尸网络。

一部分上,用python来解密比用C++快很多,省去了无数建筑工程的劲头。所以Python是各一个加密解密人员必备的一样门户语言。不过要安人员之系统是Linux,那么即使可轻松地完成python的安装过程,但倘若安全人员的网是Winodws,那么就是用在Windows上重复编译。所以python的动系统一般都是于Linux上,这吗就不难理解为什么本次的PyCryptoMiner只对Linux了。另外由于过去同样年,黑客利用僵尸网络进行发掘矿的方向迅猛,所以众多安康解决方案都增多了就方面的检测。鉴于此,黑客开发之挖矿工具也是与时俱进,具有了重多的隐蔽性。PyCryptoMiner僵尸网络就是冲Python脚本语言,这样PyCryptoMiner就会见伪装成一个合法的二进制文件来推行挖掘矿过程,但此过程由于受混为一谈了了,所以很为难给检测到。

结发文前,研究人口现已以黑客的星星点点单PyCryptoMiner钱包地址被,分别发现了94跟64只门户罗币,约值6万美元,而当时只是所获利之一律稍稍有。

PyCryptoMiner的抨击过程

本着Linux系统构建僵尸网络已是那个大的抨击媒介了,特别是在物联网设备兴起之近期几年,基于Python的脚本语言,似乎已经成为攻击矛头。与二进制恶意软件替代方案不同的凡,基于脚本语言的恶意软件本质上重新能够逃脱检测,因为它可能蛮容易给模糊,另外它们吗是出于一个法定的二进制文件实行的,它可能是几拥有Linux/Windows发行本备受的PERL/
Python/Bash/Go/PowerShell解释器之一。

image.png

PyCryptoMiner通过尝试猜测目标Linux系统的SSH登录凭据进行传播。一旦SSH凭证被猜测出,僵尸网络就是会见配备一个简约的base64编码的Python脚本,用于连接C&C服务器来下载和实行额外的Python代码。

依据Python脚本语言,所以很为难给检测到;在C&C服务器无可用时,PyCryptoMiner会利用Pastebin.com(在用户名“WHATHAPPEN”下)接收新的C&C服务器分配。根据当下的调查,“WHATHAPPEN”已和3.6万多只域名相关联,其中有些域名自2012年以来便起来实践诈骗、赌博与色情服务。

另外研究人口发现该僵尸网络最近以增了她是一个围观程序,被用于寻找被CVE-2017-12149尾巴影响之JBoss服务器。JBOSSApplication
Server反序列化命令执行漏洞(CVE-2017-12149),远程黑客利用漏洞可于未经任何身份验证的服务器主机上执行任意代码。由于拖欠漏洞的细节及证明代码已经公开,所以出现了周边利用该漏洞尝试的攻击。

不过,这个僵尸网络的开发者非常聪明。由于大部分恶意软件都见面针对C&C服务器的地点进行硬编码,所以当原始C&C服务器无可用时,就会面世服务器无法告诉僵尸网络都切换至其它一样宝C&C服务器的景象。因此,如果原先地方不可用的话,黑客就是见面用Pastebin.com来宣布一个替的C&C服务器地址。
[图上传失败…(image-e24b5b-1515721283875)]当Pastebin.com上托管的备用C&C服务器地址

黑客需要给的挑战之一是怎么样保持可连的C&C基础架构,而未为公司安全解决方案迅速列入黑名单,或者以执法以及平安厂商的滥用报告之后经常被ISP和托管服务关闭。

所以黑客开始下的复扑朔迷离的道,就是官文件托管服务,如Dropbox.com和Pastebin.com,这些劳动不能够随便被列入黑名单或关闭。这种技能还同意黑客在急需常可更新C&C服务器的地点。

值得注意的凡,在写本文时,僵尸网络的C&C服务器就让终止访问,这样有新感染的僵尸都处不了了之状态,轮询“Patebin.com”页面。然而,黑客可以随时更新页面及一个初的C&C服务器,以重决定僵尸网络。

由于Pastebin.com的资源是当着的,研究人员也可窥见有关这操作的还多信息。由于用户名“WHATHAPPEN”于2017年8月21日创造了拖欠资源,因此PyCryptoMiner可能在2017年8月即曾经起步了。当研究人口写这篇文章的当儿,这个资源都给查看了177987次了。

Pastebin.com资源元数据

当越来越查明时,研究人口还发现由于“WHATHAPPEN”用户创建的更多系资源如同都运了一般的Python脚本,主要区别在于其在跟差之C&C服务器通信。

重新多系的Pastebin.com资源

于查询这些C&C服务器的域名“zsw8.cc”时,发现注册人名称也“xinqian Rhys”。

image.png

C&C域名注册数量

夫报人口同235个电子邮件地址以及36000基本上个域相关联。对注册人的飞快搜索显示,自2012年以来,他所报之域名就是从头从事诈骗,赌博和成人服务。

过剩的关联域

耳濡目染流程

该僵尸网络攻击过程分成几个阶段,如前所述,一旦推行Python脚本,另一个基于僵尸网络就会见配备一个简短的base64编码的Python脚本,用于连接C&C服务器来下载和实行额外的Python代码。

Python脚本

控制器脚本通过注册也 Cron
JOB(配置定时任务)在叫感染的装备上创办持久性,名也“httpsd”的原攻击bash脚本包含一个各国隔6钟头运转一坏的base64编码的Python单线程。

以攻击脚论上加至crontab

然后其见面征集受感染设备及之信息:

1.主机/ DNS名称;

2.操作系统名称及其架构;

3.CPU数量;

4.CPU使用率。

收集到之信息表明该僵尸网络背后的商业模式就是打通加密货币,另外该脚论还见面检讨装置是否曾让恶意软件感染过,如果让染过,则受感染的配备的时着实行什么任务。这个检查是由此以现阶段正值运行的过程面临追寻几独预定义的黑心软件文件称来成功的。看起该僵尸网络可作为加密挖掘节点(运行“httpsd”或“minerd”进程),或者作为扫描节点(运行“webnode”或“safenode”进程)。

“Minerd”和“Scannode”进程

接下来,收集至之音讯用于发送到C&C,C&C以Python字典的款型回应职责之实际细节。

出殡给C&C的于感染节点的侦探报告

出殡给C&C的受感染节点的侦报告

攻击任务包括:

“cmd”:作为一个独的进程执行的任性命令;

“client_version”:如果由服务器收到至之版本号与目前底僵尸网络版本不同,它以已僵尸程序并伺机cron再次运行趋势脚论以安排更新的本子(当前价值吗“4”);

“task_hash”:任务标识符,因此C&C可以共僵尸网络结果,因为每个命令还发生异之尽时间;

“conn_cycler”:轮询由决定的C&C的时间距离,可能会见就僵尸网络的增强来抵消C&C基础架构上的载重(默认值为15秒)。

施行任务指令后,设备人会面用下令的输出发送到C&C服务器,包括task_hash和僵尸网络标识符。

客户端执行任务并以结果发送给C&C

当研究人员之钻研案例中,PyCryptoMiner的bot是一个门罗币矿工,同时为染上了一个誉为也“wipefs”的二进制可执行文件,这个文件至少在2017年8月13日,就曾经深受多只平平安安预防的厂商检测到。

来VirusTotal的恶心软件信息

可执行文件基于“xmrminer”,该公文在挖掘门罗币,由于匿名性和不得追述性,现在门罗币已经改为网络犯罪分子的首选。

用新型的JBoss反序列化(CVE-2017-12149)漏洞

拖欠僵尸网络似乎尚以迈入,12月中旬以WHATHAPPEN的项家下冒出了一个誉为也“jboss”的初资源。
[图片上传失败…(image-95b7c4-1515721283875)]2017年12月12日,在PasteBin中窥见了一个附加文件

“jboss”是同一种基于base64编码的python代码,用于
python僵尸网络以及C&C服务器的通信。
[图上传失败…(image-617956-1515721283875)]“jboss”资源是一个因base64编码的Python代码

这些代码是有扫描功能的,被用来寻找被CVE-2017-12149尾巴影响的JBoss服务器。它见面由此JBoss常用之七只不同之TCP端口向“/
invoker /
readonly”URL发送一个告,如果服务器响应包含“Jboss”/“jboss”字符串的一无是处(500描写态码),则会以目标URL报告给C&C服务器。

环视易受攻击的JBoss服务器

假使扫描的靶子列表由C&C服务器控制,而僵尸网络虽然发单独的线程轮询C&C服务器因为博取新目标。此时服务器会应一个C类IP范围拓展扫描,但也得供一个IP地址。

自打C&C服务器获取扫描目标

门罗币收益

目前PyCryptoMiner使用了少数只钱包地址,分别发出94暨64独家罗币,约值6万美元。

image.png

IOCs

哈希值

d47d2aa3c640e1563ba294a140ab3ccd22f987d5c5794c223ca8557b68c25e0d

C&C

hxxp://http://pastebin.com/raw/yDnzKz72

hxxp://http://pastebin.com/raw/rWjyEGDq

hxxp://http://k.zsw8.cc:8080
(104.223.37.150)

hxxp://http://i.zsw8.cc:8080
(103.96.75.115)

hxxp://208.92.90.51

hxxp://208.92.90.51:443

hxxp://104.223.37.150:8090

影响的设施

/tmp/VWTFEdbwdaEjduiWar3adW

/bin/httpsd

/bin/wipefs

/bin/wipefse

/bin/minerd

/bin/webnode

/bin/safenode

/tmp/tmplog


使您当这首文章对,不苟动动你的粗手,关注一下自?