比特币没落

后天比特币仿佛早已不是黑客们的最爱了,由于过去比特币一直被感到是“犯罪货币”,所以执法机构早已开采出追踪技艺来考查比特币的贸易记录了。而门罗币的不足追踪性,决定了它以往必定会遭逢骇客的接待。

利落发布公文前,研商人口已在黑客的三个PyCryptoMiner卡包地址中,分别开采了94和六12个门罗币,约价值6万法郎,而那只是所追求利益的一小部分。

PyCryptoMiner的抨击进度

针对Linux系统构建丧尸互联网已经是极度广阔的抨击媒介了,特别是在物联网设备兴起的近年几年,基于Python的脚本语言,犹如已成攻击矛头。与二进制恶意软件代替方案分歧的是,基于脚本语言的恶意软件本质上更能躲过检查实验,因为它也许相当的轻松被指鹿为马,此外它也是由多少个法定的二进制文件实践的,它只怕是差不离具备Linux/Windows发行版中的PE帕杰罗L/ Python/Bash/Go/PowerShell解释器之风姿罗曼蒂克。

image.png

PyCryptoMiner通过尝试猜度指标Linux系统的SSH登入凭据举行传播。生龙活虎旦SSH凭证被猜出,尸鬼网络就能够配备三个轻松易行的base64编码的Python脚本,用于连接C&C服务器来下载和推行额外的Python代码。

听闻Python脚本语言,所以很难被检查评定到;在C&C服务器不可用时,PyCryptoMiner会利用Pastebin.com(在客商名“WHATH应用软件EN”下卡塔尔选择新的C&C服务器分配。遵照当下的科学探讨,“WHATH应用程式EN”已与3.6万五个域名相关联,个中部分域名自2013年来讲就起来实行棍骗、赌博和深红服务。

其它商讨人士发掘该尸鬼网络这几天又扩充了它是二个扫描程序,被用来寻找受CVE-2017-12149纰漏影响的JBoss服务器。JBOSSApplication Server反系列化命令实施漏洞(CVE-2017-12149),远程黑客利用漏洞可在未经任何身份验证的服务器主机上推行跋扈代码。由于该漏洞的细节和说南梁码已公开,所以现身了左近利用该漏洞尝试的笔诛墨伐。

只是,这些活死人网络的开荒者特别聪明。由于超过57%黑心软件都会对C&C服务器的地址进行硬编码,所以当原始C&C服务器不可用时,就能够产出服务器不能告知尸鬼网络已切换成另生龙活虎台C&C服务器的景色。由此,要是原地方不可用的话,黑客就能够动用Pastebin.com来发表八个取代的C&C服务器地址。
[图表上传失利...(image-e24b5b-1515721283875)]在Pastebin.com上托管的备用C&C服务器地址

黑客供给面临的挑衅之一是哪些保持可不断的C&C底子架构,而不被集团安全实施方案十分的快列入黑名单,恐怕在执法和安全厂家的滥用报告之后平常被ISP和托管服务关闭。

为此黑客最早选拔的更复杂的格局,便是公共文件托管服务,如Dropbox.com和Pastebin.com,那么些服务不能够随随意便被列入黑名单或关闭。这种本事还同意红客在须要时可更新C&C服务器之处。

值得注意的是,在写本文时,丧尸互连网的C&C服务器已被结束访谈,那样全部新感染的尸鬼都远在不了了之状态,轮询“Patebin.com”页面。然则,红客能够每十三五日更新页面到一个新的C&C服务器,以重新决定丧尸互联网。

由于Pastebin.com的能源是公然的,切磋职员也得以窥见有关此操作的越多音信。由于顾客名“WHATHAPPEN”于前年十一月14日创制了该财富,由此PyCryptoMiner大概在前年四月就曾经运转了。当商量职员写这篇小说的时候,那个能源已经被查看了1779八十六回了。

Pastebin.com财富元数据

当越来越侦察时,讨论人口还发现由“WHATH应用软件EN”顾客成立的更加多相关能源就像是都使用了雷同的Python脚本,首要差异在于它们正在与分歧的C&C服务器通讯。

越来越多相关的Pastebin.com财富

在查询那么些C&C服务器的域名“zsw8.cc”时,开采注册人名为“xinqian Rhys”。

image.png

C&C域名注册数量

此注册人与232个电子邮件地址以致36000八个域相关联。对注册人的连忙搜索展现,自2011年来说,他所注册的域名就从头从事棍骗,赌钱和进化阶段服用务。

许多的关联域

行使最新的JBoss反体系化(CVE-2017-12149卡塔尔漏洞

该活死人互连网如同还在发展,五月尾旬在WHATH应用软件EN的帐户下现身了四个名字为“jboss”的新财富。
[图片上传失利...(image-95b7c4-1515721283875)]二〇一七年二月七日,在PasteBin中开掘了八个附Gavin件

“jboss”是生龙活虎种基于base64编码的python代码,用于 python尸鬼互联网与C&C服务器的通讯。
[图表上传失利...(image-617956-1515721283875)]银河网址,“jboss”财富是多个遵照base64编码的Python代码

那一个代码是独具扫描效能的,被用于寻觅受CVE-2017-12149缺欠影响的JBoss服务器。它会透过JBoss常用的多少个不等的TCP端口向“/ invoker / readonly”U途乐L发送七个伸手,假使服务器响应包蕴“Jboss”/“jboss”字符串的错误(500状态码卡塔尔国,则会将目的U途观L报告给C&C服务器。

环视易受攻击的JBoss服务器

要扫描的靶子列表由C&C服务器控制,而尸鬼网络则有独立的线程轮询C&C服务器以博得新对象。当时服务器会响应四个C类IP范围拓宽扫描,但也能够提供二个IP地址。

从C&C服务器获取扫描目的

局地时候,用python来解密比用C++快相当多,省去了不少建工程的劲头。所以Python是每叁个加密解密人士必备的一门语言。可是只要安全人员的连串是Linux,那么就能够轻便地成功python的设置进程,但只要安全人士的系统是Winodws,那么就必要在Windows上再度编写翻译。所以python的接收系统经常都是在Linux上,那也就轻便精通为啥此次的PyCryptoMiner只针对Linux了。其余是因为过去一年,骇客利用尸鬼互联网开展挖矿的趋势迅猛,所以重重虎口脱离危险技术方案都增添了那方面的检验。鉴于此,黑客开采的挖矿工具也是与时俱进,具备了越多的隐蔽性。PyCryptoMiner丧尸互连网正是基于Python脚本语言,那样PyCryptoMiner就能伪装成贰个合法的二进制文件来举行挖矿进程,但那一个进度由于被歪曲过了,所以很难被检验到。

耳闻则诵流程

该尸鬼网络攻击进程分成多少个级次,如前所述,生龙活虎旦试行Python脚本,另一个基于尸鬼网络就能陈设四个简易的base64编码的Python脚本,用于连接C&C服务器来下载和实行额外的Python代码。

Python脚本

调整器脚本通过注册为 Cron JOB(配置定期职责卡塔 尔(阿拉伯语:قطر‎在受感染的装置上开创长久性,名称叫“httpsd”的庐山面目目攻击bash脚本包蕴多少个每间距6钟头运维叁遍的base64编码的Python单线程。

将攻击脚本增多到crontab

下一场它会搜罗受感染设备上的音信:

1.主机/ DNS名称;

2.操作系统名称及其框架结构;

3.CPU数量;

4.CPU使用率。

募集到的新闻阐明该活死人互联网背后的商业格局正是发现加密货币,其余该脚本还有恐怕会检讨装置是或不是曾经被恶意软件感染过,假使被感染过,则受感染的装备的一时正值推行什么样职责。那几个检查是通过在方今正在运行的进度中搜寻多少个预约义的恶心软件文件名来产生的。看起来该活死人网络能够看成加密发掘节点(运维“httpsd”或“minerd”进度卡塔 尔(阿拉伯语:قطر‎,也许当做扫描节点(运营“webnode”或“safenode”进度卡塔尔国。

“Minerd”和“Scannode”进程

接下来,搜聚到的音讯将被发送到C&C,C&C以Python字典的样式回应任务的求实细节。

发送给C&C的受感染节点的侦察报告

发送给C&C的受感染节点的刑事侦察报告

攻击任务包含:

“cmd”:作为三个单独的经过施行的妄动命令;

“client_version”:假若从服务器收到到的版本号与近期的活死人互联网版本不相同,它将终止丧尸程序并伺机cron再度运转趋向脚本以陈设更新的版本(当前值为“4”卡塔 尔(英语:State of Qatar);

“task_hash”:义务标志符,由此C&C能够联手活死人互连网结果,因为各种命令都有不一致的实践时间;

“conn_cycler”:轮询由调控的C&C的时光间距,恐怕会趁机活死人互联网的巩固来抵消C&C底蕴框架结构上的载重(私下认可值为15秒卡塔 尔(英语:State of Qatar)。

实施职责指令后,设备人会将指令的出口发送到C&C服务器,包罗task_hash和活死人互联网标志符。

客户端实践职责并将结果发送给C&C

在研商人口的研讨案例中,PyCryptoMiner的bot是贰个门罗币矿工,同一时间也感染了叁个名叫“wipefs”的二进制可推行文件,这几个文件起码在前年八月14日,就已经被四个平安全防御护的商家品查证测到。

来源VirusTotal的恶心软件消息

可实践文件基于“xmrminer”,该文件正在发现门罗币,由于无名氏性和不可追述性,今后门罗币已经化为互联网犯罪分子的首要推荐。

IOCs

哈希值

d47d2aa3c640e1563ba294a140ab3ccd22f987d5c5794c223ca8557b68c25e0d

C&C

hxxp://http://pastebin.com/raw/yDnzKz72

hxxp://http://pastebin.com/raw/rWjyEGDq

hxxp://http://k.zsw8.cc:8080 (104.223.37.150)

hxxp://http://i.zsw8.cc:8080 (103.96.75.115)

hxxp://208.92.90.51

hxxp://208.92.90.51:443

hxxp://104.223.37.150:8090

影响的装置

/tmp/VWTFEdbwdaEjduiWar3adW

/bin/httpsd

/bin/wipefs

/bin/wipefse

/bin/minerd

/bin/webnode

/bin/safenode

/tmp/tmplog


若果您以为那篇小说不错,不及动动你的小手,关切一下作者?

据coinmarketcap.com的数额展现,门罗币的价钱在二〇一七年最后四个月翻了两倍至349台币,而同临时间比特币大致只翻了豆蔻梢头倍左右,所以近些日子面世了大批量的针对门罗币的打桩事件。

那不近年来,F5 Networks的兴安盟钻探职员又开掘了二个名叫PyCryptoMiner的新的Linux 门罗币挖矿尸鬼互联网,并且是足以因而SSH左券实行传播新的Linux加密活死人互联网。

Monroe币收益

现阶段PyCryptoMiner使用了四个钱包地址,分别有94和63个门罗币,约价值6万法郎。

image.png

本文由银河网址发布于银河网址,转载请注明出处:比特币没落

您可能还会对下面的文章感兴趣: