导语:近日,研究人员发现一个利用僵尸主机通过金融诈骗网站挖矿,并通过攻击22端口上的SSH服务影响所有运行SSH服务的服务器和联网设备。

在物联网设备上进行加密货币挖矿一直是一个有争议的话题,因为物联网设备的计算能力一般不强。但黑市上仍有提供攻击联网设备加密货币挖矿的恶意软件。

研究人员部署的蜜罐探测器近期检测到与IP地址192.158.228.46相关的挖矿僵尸,该蜜罐探测器可以模拟SSH、telnet、FTP等服务。该IP地址搜索SSH和IOT相关的端口,包括22、2222和502端口。在特定攻击中,IP会在22端口上加载SSH服务。该攻击适用于所有运行SSH服务的服务器和联网设备。

潜在的金融诈骗站点也在挖矿

僵尸主机会搜寻打开了远程桌面协议(Remote Desktop Protoco,RDP)端口的设备,攻击者可以利用该端口有漏洞的设备。一旦攻击者发现设备可以被利用,就会尝试运行wget命令来下载一个脚本,随后运行该脚本并安装恶意软件。

操作的模型是僵尸使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/来存放恶意脚本mservice_2_5.sh。该脚本随后会从hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz处下载文件并保存到/tmp文件夹目录下。(该攻击活动应该是中国人发起的,因为域名翻译过来是“一路赚钱”)。这种技术广泛应用于针对Linux操作系统的服务器利用技术。这种僵尸可以在Linux系统上加载挖矿机,僵尸还有一个驻留机制添加在installer脚本中,脚本可以在crontab(定时任务)中添加任务。

在检查脚本尝试下载文件的网站时,研究人员发现该站点是一个金融诈骗网站。从攻击者的行为频段,第一个URL应该是跳板点(jumping-off point)。也就是说,如果该链接被拦截了,攻击者转向另一个域名就可以继续运营了。

通过社会工程攻击,用户会被诱骗安装挖矿机。诈骗站点看起来是一个普通的网站,但研究人员分析发现有一篇博客hxxps://www[.]zjian[.]blog/148[.]html和视频教学页面hxxps://www[.]bilibili[.]com/video/av19589235/,讲述了如何进行帮助挖矿。

技术细节

mservice_2_5.sh脚本运行后,首先ping baidu.com来检查网络连接状态。

image.png

图1. 脚本检查网络连接

然后确定运行的操作系统。

image.png

图2. 判断OS平台

然后恶意软件会设定user ID,如果开始没有提供user ID参数,就设置为2。设备名也被设置为命令的输出:

image.png

图3. 设置设备名

然后设置hugepage和memlock来增强设备的性能,这样可以让更多的运算能力用于加密货币挖矿:

image.png

图4. 设置Hugepage和memlock

这些都设置完成后,脚本就会下载挖矿机,并且会伪装成 libhwloc4库,然后提取到/opt文件夹,运行下面的命令:

image.png

图5. 下载挖矿机

恶意脚本还含有一个基本的驻留机制来确保设备重启后继续挖矿:

image.png

图6. 恶意脚本使用驻留机制

image.png

图7. 在被攻击的主机上创建的文件结构

文件cmd.txt列出了运行mservice二进制文件的参数,然后会安装真实的挖矿机YiluzhuanqianSer:

image.png

图8. 安装的加密货币挖矿机

然后在conf.json文件中有一个webshell/backdoor。同时,work目录含有2个二进制文件和含有运行挖矿机命令的文件cmd.txt。参数保存在workers.json文件中:

image.png

图9. conf.json中的Web shell/backdoor

image.png

图10. 工作目录

image.png

图11. workers.json中的参数

前面也提到过,这类针对联网设备进行挖矿的活动并不少见。而且,使用僵尸来攻击IoT设备的安全事件也常常出现在新闻中,其中最著名就是Mirai僵尸网络。使用僵尸网络可能是攻击者使用IoT设备最主流的方式之一。单个被黑的设备可能运算能力不足,但当恶意软件以僵尸的形式传播时,一个挖矿僵尸军团就出现了,而且挖矿能力十足。

缓解

在用户设备上进行加密货币挖矿会消耗大量电量并且耗尽计算能力。因此,需要使用标准的安全措施来缓解风险,比如:

· 定期更新设备固件来避免利用已知漏洞的攻击;

· 改变设备的默认凭证,使用强口令来避免未授权的访问;

· 注意已知的攻击单元,如社会攻击链接、附件、不同网站的文件、第三方应用、邮件等。

IOCs

文件名:

mservice_2_5.sh
yilu.tgz
yilu_2_5.tgz

URL:
hxxp://p1v24z97c[.]bkt[.]clouddn[.]com
hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz

IP地址:
114.114.114.114
192.158.22.46

目的端口:

1993, 1992

相关哈希值(COINMINER_TOOLXMR.O-ELF,SHA256):

· e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a

· 2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8

· adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe

· 6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b

源链接

Hacking more

...