DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万

       2017年10月,360网络安全研究院监控到一个大规模攻击OrientDB 数据库服务器,挖取门罗币(XMR,Monero CryptoCurrency)的僵尸网络,并将其命名为 DDG 挖矿僵尸网络 (DDG Mining Botnet,以下简称 DDG)。DDG 累积挖取的门罗币数目较大,到2018年2月,能够确认该僵尸网络累积挖取的已经超过 3,395枚门罗币,折合人民币超过580万元 。DDG一跃成为继MyKings之后,收益第二大的挖矿僵尸网络。(详细分析见:https://blog.netlab.360.com/ddg-a-mining-botnet-aiming-at-database-server/)

       近期,360注意到该家族发布了新的版本 3011 ,在该更新版本部署的过程中,引发了端口 7379 及相关端口上的扫描流量异常。该版本中启用了新的钱包,其在 2 个矿池里累计收益已经超过 1,419 枚 XMR,折合人民币近180万元。迄今,长期运营的DDG从数据库服务器中攫取的挖矿收益已达近800万人民币。

DDG 3011版本简介

 

       值得注意的是,DDG僵尸网络的新版本可能还处于测试阶段,或者只是一个过渡版本。

DDG 3011 版本的概要特征如下:

· 启用了新的 XMR 钱包地址

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik ;

· 挖矿程序变更为 2t3ik ,但命名规则没有变化,仍然是钱包地址的末尾 5 位;

· 启用多个矿池,这应该被理解成为一种失效保护机制;

· 样本的编写语言由旧的 Go1.9.2 换成了 Go1.10,并在代码结构、第三方库和自身功能方面进行较大改动;

· 启用了云端配置文件,可以由云端配置文件指定要扫描的服务端口、矿机程序下载链接、本地样本更新数据等等;

· 相同的持久驻留机制:将 i.sh 脚本写入到 Crontab 中定期更新、运行。

7379 及相关端口上的扫描流量异常

       近期,我们的 ScanMon 系统显示 Redis 服务相关端口的扫描流量骤增,如下:

1

上图中,与该扫描相关的关联端口共计 7 个,分别是 :

       · Redis 相关的三个:6379, 6380, 7379

       · SSH 相关的三个:22, 2222, 22222

       · HTTP 相关的一个:8000

       我们在本文后续的样本分析环节中可以发现,DDG 新版本 ddgs.3011 的扫描模式与上述 ScanMon 观察到的现象非常契合。这足以证明,DDG 最新版本的活动引起了本轮 7379 及相关端口上的扫描行为。

样本执行流程

       我们捕获了这次事件相关的核心样本:

图2

       该样本的执行流程如下:

图3

       新旧样本最明显的相似之处,是通过把 i.sh 脚本植入到 Linux 系统肉鸡的 Crontab 中来实现持久驻留。新 i.sh 脚本内容如下:

图4

图5

       ddgs.i686 通过 SSH / Redis 服务暴破、未授权访问来入侵主机,暴破词典如下:

图6

       ddgs.i686 还会在失陷主机本地的 /var/spool/cron/crontabs/root 或者 /var/spool/cron/crontabs 处写入定时任务脚本,从云端下载最新的 i.sh 脚本定时执行( %s 处为最新的 i.sh 下载链接),实现持久驻留:

图7

       然后,ddgs.i686 会尝试在当前肉鸡的 ~/.ssh/authorized_keys 中注入以下 SSH Pub Key

图8

       ddgs.i686 样本中内置了一个 ip:port List,其中 2 个主要的 165.225.157.157:8000  165.227.149.151:8000 ,其他算是备用,全部列表见文末 IoC 部分。

       样本 ddgs.i686 启动之后,会依次连接上述 ip:port 检查是否可以访问:

图9

       对每个成功握手的 ip:port ddgs.i686 都会尝试向 hxxp://<C2:8000>/slave 发送 HTTP POST 请求:

图10

       如果 C2 正常工作,则会返回一串用 msgPack 序列化编码后的配置文件数据:

图11

       由于这串数据自定义了复杂的数据结构,没能成功完美解码,经过 msgPack 通用反序列化再大概还原后如下:

图12

图13

图14

图15

图16

结合配置文件和样本分析,可以发现以下几个关键点:

       1. 配置文件中提供了 Miner 程序的 URIMD5 和保存到当前肉鸡的文件路径。ddgs.i686 会根据 URI,通过 HTTP GET 请求从 http://<C2:8000>/Miner_URI 处下载 Miner 程序并另存到指定路径;

       2. 配置文件中提供了最新的 i.sh 文件下载路径,ddgs.i686 会把这个路径填充到定时任务的命令字串中;

       3. 配置文件中指定了要扫描的 dstport,可以看到针对 Redis 服务,指定 ddgs.i686 扫描 (6379, 6380, 7379) 三个端口,针对 SSH 服务,指定扫描 (22, 2222, 22222) 三个端口。(这里可以解释 ScanMon 7 个端口之间的伴生关系。但 Redis 服务相关的 3 个端口与 SSH 服务相关的 3 个端口之间 Shared scip 数量比较少,原因可能跟蜜罐部署以及蜜罐的网络配置有关)

       4. 配置文件中的 GenLan / GenAAA 对应生成 Scan Target IP 的生成策略。样本中的 Scan Target IP 生成策略仍然同于旧版本的 ddg.miner 
生成的内网网段 Target IP 范围如下:

       · 10.Y.x.x/16 (Y 为当前内网 IP B 段的值)

       · 172.16.x.x/16

       · 192.168.x.x/16

       当前主机的公网 IP 地址 WAN_IP ,然后在 WAN_IP/8 范围内生成公网网段 Target IP

       但是样本内有个扫描控制策略,从行为上看,针对内网 Target IP ,只扫描 SSH 服务相关的 3 个端口,我的虚拟机上运行结果只会扫 SSH 服务,看起来只有获取到了网卡的外网地址,才会针对外网的 Target IP 扫描 Redis 相关的端口。

       5. 配置文件中给出了 ddgs 样本的更新配置:最新的版本号、本地另存的文件路径、C2 端下载的 URI 以及样本的 MD5,本地已有的 ddgs.i686 样本会根据这些信息对本地样本进行更新。

挖矿

       样本获取配置文件后,会根据配置文件中 Miner 的信息,去下载 2t3ik.p  2t3ik.m 到当前失陷主机的 /tmp/ 目录。这两个文件是 XMRig 2.5.2 编译的矿机程序,具体区别不明,关键信息都一致:

       · 钱包地址(新出现):

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

       · 涉及的矿池:

       · 47.90.204.154

       · hk02.supportxmr.com

       · pool.supportxmr.com

       · xmr-asia1.nanopool.org

       · xmr-us-west1.nanopool.org

其中 47.90.204.154:443 是首选矿池地址,但会 Reset 掉网络请求,该主机位于 阿里云 ,猜测是团伙背后的 Miner Report C&C 主机;

       · 在矿池 supportxmr.com 中的 TotalPaid  150.5194868540 XMR ,按当前市价折合人民币 181,311.3  

       · 在矿池 nanopool.org TotalPaid: 1268.5880545439 XMR ,按当前市价折合人民币 1527,519.6

3011 是一个测试或过渡版本

       最后值得一提的是,ddgs.i686 32bit ELF 文件,而它下载到的 2t3ik.p  2t3ik.m 都是 64bit ELF 文件,这样一来,在真实环境中,矿机程序并没有办法运行。而且,版本 3011 只有hxxp://165.225.157.157:8000/static/3011/ddgs.i686 这一个核心样本,不像版本 3010 ,同时存在 ddgs.i686 ddgs.x86_64 两个核心样本。所以,可以认为版本 3011 目前处于测试阶段,或者只是一个过渡版本。

IoC

Sample

本文由 华盟网 作者:excalibur 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

1

相关文章

发表评论

电子邮件地址不会被公开。