用区块链挣钱,黑产也这么想
通过绿盟科技的威胁捕获系统,我们监测到了一个面向门罗币挖矿的僵尸网络。据不完全统计,该僵尸网络控制的肉鸡数量上万台,单日最高活跃肉鸡数接近600台,在今年7月份最为活跃,至今依然存在网络活动。
本文主要分为两部分,前半部分对该挖矿僵尸网络的肉鸡情况进行刻画和描述,后半部分对攻击者从爆破,控制,到挖矿整个过程的攻击手法和恶意样本进行分析。
基于威胁捕获系统收集到的大量蜜罐日志数据,我们对不同攻击者入侵时的攻击行为进行聚类,同时对与其相关的爆破弱口令列表和恶意样本进行关联性分析,从而发现了这个挖矿僵尸网络。本文所分析的数据来源于从 2019年3月至10月的SSH/Telnet蜜罐日志数据,下面是该僵尸网络的一些情报信息。
1活跃情况
图1.1 挖矿僵尸网络活跃情况
2肉鸡国家分布
图1.2 肉鸡国家分布
3肉鸡开放端口分布
4肉鸡设备类型分布
1爆破字典和控制手段分析
表2.1 暴力破解字典及使用次数
排名 | 账号-密码 | 使用次数 |
1 | nproc-nproc | 55845 |
2 | root-root | 122 |
3 | 123456-root | 116 |
4 | root-1234 | 106 |
5 | root-ubuntu | 91 |
使用弱口令登入后,攻击者会对主机进行持续控制,主要有两种控制手段。
控制手段一:通过植入RSA公钥实现SSH免密码登录。核心命令行如图2.1所示。
第1行,攻击者获取当前主机和操作系统的相关信息。第2行,执行相关命令使其SSH登录后不记录历史命令(.bash_history)。第3行,在当前肉鸡的 ~/.ssh/authorized_keys 中注入自己的SSH Pub Key,从而实现控制。
控制手段二:向肉鸡植入僵尸程序以实现恶意控制。核心命令行如图2.2所示。
第2行为核心命令,是僵尸程序的加密字符串,需要base64解码和uppack解包。第3行是等待僵尸程序运行后,检查程序是否正常运行,即检查肉鸡是否已经被控制。第2行base64解码后部分结果如图2.3。
可以看到,解密结果疑似被打包成某种特定格式,尝试用perl的unpack函数去解包,得到了僵尸程序的真面目,共925行,图2.4,图2.5为该僵尸程序代码片段,其中包含了C2服务器地址和一些记录当前肉鸡信息的函数。
值得一提的是,该僵尸程序还包含有扫描模块,分别为指定端口扫描和全端口扫描,如图2.6,图2.7所示。指定端口扫描的端口包括21端口,22端口,23端口,25端口,53端口,80端口,110端口,143端口和6665端口。
图 2.6 僵尸程序指定端口扫描模块
2恶意样本下载方式分析
方式一:在6月份之前,攻击者通过植入downloader程序来下载恶意样本并执行,在植入downloader程序的同时也获取到当前主机相关信息。核心命令行如图2.8所示。
第1,2行,下载downloader程序,等待下载完成后调整文件权限。第3-5行,测试新建用户的权限。6-10行,查看当前主机的CPU信息,内存信息,还有CPU型号等。
downloader程序内容如图2.9所示。内容是明文,未经过加密,攻击者先通过wget和curl命令下载疑似游戏组件的dota2.tar.gz,实际上为挖矿程序,进入到相应的文件夹中,然后执行挖矿程序。
图 2.9 downloader程序内容
方式二:6月份之后,攻击者稍微做了一些改变,先将恶意样本内容进行base64编码,然后把加密字符串转储成文件后解密执行。核心命令行如图2.10所示。
对第2行加密字符串进行base64解码,内容同图2.9 downloader程序内容,核心内容并没有发生变化。
3恶意样本分析
dota2.tar.gz文件的主要内容如图2.11所示。
init0文件的部分内容如图2.12所示。它是Linux系统查杀加密货币矿工的脚本,主要功能是清理CPU占用高的进程和各种矿池进程。
run文件的内容如图2.13所示,它是真正启动挖矿的脚本,通过ARCH获取具体的系统版本后,根据版本执行与其对应挖矿程序。
图 2.13 run脚本内容
anacron*和cron*是32位和64位的挖矿程序。通过IDA工具简单分析,可以从中获取到很多挖矿的痕迹。比如图2.14挖矿程序帮助信息中,可以发现xmrig挖矿病毒,cryptonight挖矿算法和mining server等相关说明。
图 2.14 挖矿程序帮助信息
还有一些和挖矿相关的IP地址和门罗币钱包地址信息,如图2.15所示。
stop文件为结束挖矿进程脚本,内容如图2.16所示。
MD5:
0de64a4f81a*****c0d9de3c0f5203f5
6d6fb279bb7*****13a441e4bfd3ded9
0e934f74713*****d105019f2b2e1d76
IP:
146.*.*.227:443
5.*.*.129:80
107.*.*.221:80
URL:
http://54.*.*.249/dota2.tar.gz
钱包地址:
45UcbvLNayefqNad3tGpHKP*****apMhgRuiiAJPYX4KyRCVg9veTmckPN7
bDebx51LCuDQ*****VbUMhc4qY14CQ
相比于比特币,门罗币天生带有黑产属性。首先,它定位于实现匿名的数字货币支付转账,和交易相关的金额大小、参与交易的双方信息,普通人都是无法通过查询得知的。其次,门罗币的挖矿算法CryptoNight属于CPU友好型,它使得门罗币可以在普通PC上而并非必须是矿机上进行挖掘。这些属性导致黑客们更加青睐以挖矿这种方式将他们所控制的网络资源变现,现存的大量挖矿算力很可能都来自于僵尸网络的肉鸡。事实也的确如此,2019年以来,两大挖矿僵尸网络都出现了新的网络活动。Mykings挖矿僵尸网络被检测到更新了基础设施,相关病毒也启用了新的域名,新钱包的收益已超过60万人民币,并且仍每天以约10个门罗币的速度挖掘。DGG挖矿僵尸网络病毒程序版本也得到了升级,不仅新增了矿池地址,对XMR钱包地址也进行了更换,该僵尸网络从2017年10月25日首次发现至今,累计挖矿收益也已经超过1000万人民币,除此之外的其他各种挖矿僵尸网络也层出不穷,攻击手段也是愈加灵活多变。不过,我们发现大多数挖矿僵尸网络主要还是以端口扫描和弱口令爆破作为传播入口的,因此关键漏洞修复和弱口令入侵这些老生常谈的问题依然值得关注。
参考文献:
[1].https://www.freebuf.com/articles/terminal/202311.html
[2].https://www.8btc.com/article/453506
[3].https://www.secpulse.com/archives/71983.html
天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。
格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。
伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
网络安全发展至今特别是随着威胁情报的兴起和虚拟化技术的不断发展,欺骗技术也越来越受到各方的关注。欺骗技术就是威胁捕获系统关键技术之一。它的高保真、高质量、鲜活性等特征,使之成为研究敌人的重要手段,同时实时捕获一手威胁时间不再具有滞后性,非常适合威胁情报的时效性需求。
绿盟伏影实验室于2017年中旬运营了一套威胁捕获系统,发展至今已逐步成熟,感知节点遍布世界五大洲,覆盖了20多个国家,覆盖常见服务、IOT服务,工控服务等。形成了以全端口模拟为基础,智能交互服务为辅的混合型感知架构,每天从互联网中捕获大量的鲜活威胁情报,实时感知威胁。
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们