推荐一个新型Linux挖矿工具:PyCryptoMiner

F5的威胁研究人员发现一种新型的Linux加密货币挖矿机僵尸网络——PyCryptoMiner,这种僵尸网络是通过SSH协议进行传播的。

PyCryptoMiner的特征

基于python脚本语言,使它很难被检测到;
如果原来的C&C服务器不可达,会用Pastebin.com (用户名WHATHAPPEN)来接受新的C&C任务信息;
注册者关联了超过3.6万个域名,其中一些域名已经证明是提供赌博、诈骗和成人服务的;
挖矿机挖的是Monero(门罗币),一种网络犯罪分子非常喜欢的匿名性很高的加密货币。截至2017年12月,该僵尸网络挖矿总价值约为4.6万美元(约30万人民币);
12月中旬加入了利用CVE-2017-12149漏洞的扫描器功能。

随着IoT设备的增多,基于Linux系统构建僵尸网络是一种常见的攻击方式。PyCryptoMiner僵尸网络是基于python脚本语言编写的,可以静默传播;而且很难被检测到,因为用脚本语言编写的恶意软件可以很容易被混淆。同样,脚本是通过合法的二进制文件触发执行的,可以是Linux和Windows版本的PERL/Python/Bash/Go/Powershell中的一种。

Botnet僵尸网络运作原理

一旦扫描僵尸机成功猜到目标Linux机器的SSH登录凭证,就会用一个简单的base64编码的python脚本连接到C&C服务器,目的是获取和执行另外的python代码。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图1: 混淆后python脚本

但是,僵尸的创建者还用了其他的手段。大多数的恶意软件是C&C服务器地址是硬编码的,这种情况下,攻击者无法告诉僵尸网络去转换C&C服务器。PyCryptoMiner僵尸网络中,如果原来的C&C服务器不可达,攻击者会用Pastebin.com来发布备用的C&C服务器地址。

推荐一个新型Linux挖矿工具:PyCryptoMiner

推荐一个新型Linux挖矿工具:PyCryptoMiner

图2: Pastebin.com上备用的C&C服务器地址

攻击者需要解决的一个大问题是如果确保C&C服务器不被企业安全解决方案纳入黑名单中,或者被ISP中断服务。所以攻击者用bullet-proof的主机服务,攻击者也在使用Dropbox.com和Pastebin.com这样的公共文件主机服务,因为这种一般不会被加入黑名单。攻击者可以随时更新C&C服务器的地址。

该攻击活动应该是从2017年8月之前开始的,因为Pastebin.com上用户名为WHATHAPPEN的用户在2017年8月21日发布了一条信息,因为浏览次数为177987次,,而且每天的浏览量大约增加1000次所以我们可以估算出出该僵尸网络的数量。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图3: Pastebin.com资源数据

通过深入分析,我们发现了同一用户名(WHATHAPPEN)创建的更多相关信息,而且好像是同样的python脚本,主要的区别是他们是与两个不同的C&C服务器通信的。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图4: Pastebin.com上的相关资源

通过查询C&C服务器的域名zsw8.cc,我们发现注册名是xinqian Rhys。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图5: C&C 域名的注册数据

该注册者有235个关联的邮箱地址和36000个域名,而这些大多是与诈骗、赌博和成人服务相关的。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图6: 上万个有关联的域名

感染流Infection Flow

该僵尸网络的应用过程是分阶段的。

Python脚本执行后,会从C&C服务器取回一个base64编码的python脚本,而这就是被感染机器的主控制器。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图7: Python脚本

该控制器脚本会在受感染的机器上注册一个定时任务,这样就可以长期留在感染设备中。最初的那个名为httpsd的脚本含有一个base64编码的python脚本,每6小时执行一次。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图8: 在crontab中加入spearhead脚本

然后从受感染的设备上收集下面的信息:

Host/DNS name主机、DNS名
OS name and its architecture 操作系统和架构
Number of CPUs CPU数量
CPU usage CPU利用率

收集的信息暗示了僵尸网络背后的商业模型应该是加密货币挖矿机。

僵尸主机同时会检查设备有没有被恶意软件感染,如果被感染,就检查受感染主机的当前状态(目的、意图)。检查是通过搜索预先定义的恶意软件名来完成的。同时,僵尸主机可以以挖矿节点(httpsd进程或minerd进程)或者扫描节点(webnode进程或safenode进程)的形式出现。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图9: 僵尸节点的类型

收集的信息会发送给C&C服务器,C&C服务器会以python词典的形式将任务详情发回给僵尸主机。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图10: 受感染主机发送收集的信息给C&C

任务(task)包括:

Cmd  任意代码以隔离的进程的形式执行
Client_version 如果当前僵尸的版本与从服务器端接收的版本信息不同,等待cron任务来执行spearhead脚本来进行升级
Task_hash task的唯一识别号,这样C&C服务器就可以同步僵尸网络的结果,因为每个命令的执行时间是不同的
Conn_cycler 选择C&C服务器的时间间隔,这是由bot master控制的,可能是为了平衡C&C服务器的负载,默认为15秒

一旦任务执行,僵尸主机就会发送命令执行的结果给C&C服务器,包括 task_hash和bot identifiers。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图11: 客户端执行任务并发送结果给C&C

 在研究中,僵尸的目的是加密货币挖矿机,可以感染名wipefs的二进制可执行文件,这是2017年8月之后检测到的恶意变种。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图12: 来自VirusTotal 的恶意软件信息

可执行文件是基于xmrminer的,是进行Monero挖矿的,这种加密货币的匿名性非常好,非常适合网络犯罪。

利用JBoss Deserialization (CVE-2017-12149)漏洞

研究人员发现,该僵尸网络也是在不断发展的,12月中旬的时候,WHATHAPPEN帐号发布了一个名为jboss的资源。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图13: 僵尸网络在不断发展

Jboss的内容是一个base64编码的python代码。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图14: jboss是base64编码的python代码

代码是一个寻找Jboss服务器的扫描功能,僵尸主机会尝试寻找CVE-2017-12149的漏洞,而该漏洞公布的时间并不长。僵尸主机会通过JBoss使用的7个TCP端口来发送请求给 /invoker/readonly。如果服务器响应含有Jboss字符串的错误(如500状态代码),就会把目标的URL报告给C&C服务器。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图15: 扫描JBoss服务器的漏洞

要扫描的目标列表是由C&C服务器控制的,而僵尸有一个单独的进程可以向C&C服务器报告新的目标,服务器会响应一个要扫描的C类IP地址的范围,而不是提供一个单独的IP地址。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图16: 从C&C服务器获取要扫描的目标

经济利益

僵尸网络所用的两个地址支付了94和64门罗币,因为价值是变动的,158门罗币的价值约为6万美元(约40万人民币)。

推荐一个新型Linux挖矿工具:PyCryptoMiner

图17: 第一个挖矿地址挖到的门罗币

推荐一个新型Linux挖矿工具:PyCryptoMiner

图18: 第二个挖矿地址挖到的门罗币

IOCs

Hash

d47d2aa3c640e1563ba294a140ab3ccd22f987d5c5794c223ca8557b68c25e0d

C&C

http://pastebin.com/raw/yDnzKz72
http://pastebin.com/raw/rWjyEGDq
http://k.zsw8.cc:8080 (104.223.37.150)
http://i.zsw8.cc:8080 (103.96.75.115)
http://208.92.90.51
http://208.92.90.51:443
http://104.223.37.150:8090

Infected Machine

/tmp/VWTFEdbwdaEjduiWar3adW
/bin/httpsd
/bin/wipefs
/bin/wipefse
/bin/minerd
/bin/webnode
/bin/safenode
/tmp/tmplog
本文翻译自:https://f5.com/labs/articles/threat-intelligence/malware/new-python-based-crypto-miner-botnet-flying-under-the-radar ,如若转载,请注明原文地址: http://www.4hou.com/technology/9776.html

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。