在連接到物聯網(IoT)的設備上進行加密貨幣挖掘的實用性在計算能力方面通常是有問題的。盡管如此,我們還是看到一些犯罪分子將聯網設備作為了目標,甚至隱秘地提供了加密貨幣惡意軟件。
我們的用于模擬Secure Shell(SSH)、Telnet和文件傳輸協議(FTP)服務的蜜罐傳感器最近檢測到了一個與IP地址192.158.228.46相關的采礦bot。而這個地址早已經被發現用于搜索與SSH和物聯網相關的端口,包括22、2222和502。在這次特定的攻擊中,IP已經登陸到了SSH服務端口22,且攻擊可以適用于所有服務器和運行SSH服務的聯網設備。
是什么引起了我們的注意?潛在的金融詐騙網站也在挖掘加密貨幣
這個Bot會搜索具有開放遠程桌面協議(RDP)端口的設備,該端口允許攻擊者利用易受攻擊的設備。一旦攻擊者識別出可以利用的設備,它就會嘗試運行wget命令,將腳本下載到一個目錄中,該目錄隨后將運行該腳本并安裝惡意軟件。
操作模式是這樣的:首先,bot使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/來托管惡意腳本mservice_2_5.sh。然后,該腳本將從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz下載文件,并將輸出保存在“/tmp”文件夾中。(這里有一個很有意思的地方,這個域名似乎是由漢語拼音構成的,翻譯過來可能就是“一路賺錢”)
以上這種技術被廣泛應用于針對基于linux的服務器。這個特殊的bot能夠在Linux上加載礦工程序,甚至在安裝程序腳本中添加了一個持久性機制,以便能夠向crontab(用于設置周期性被執行命令的配置文件)添加一個服務。
在查看腳本試圖下載文件的網站時,我們發現它似乎是一個金融詐騙網站。從攻擊者的行為來看,第一個URL只能被用來作為一個“起跳點”。這意味著如果連接被阻止,攻擊者可以切換到另一個域繼續操作,而不會失去潛在的詐騙網站本身。
通過社交工程,用戶被誘騙安裝礦工,直接將利潤(在這個案例中以門羅幣和以太坊代幣的形式)轉移到相關網站。這個詐騙網站被制作成看上去是一個普通的網站,但當我們深入挖掘更多信息的時候,我們發現了一個博客(hxxps://www[.]zjian[.]blog/148[.]html)和一個視頻教程頁面(hxxps://www[.]bilibili[.]com/video/av19589235/),介紹了如何簡化挖掘工作。
活動是如何進行的?
一旦mservice_2_5.sh腳本運行,它首先會通過ping Baidu[.]com來檢查網絡連接:
圖1.腳本檢查連接
然后,確定它運行在什么操作系統(OS)上,特別是正在使用的是哪個Linux發行版本:
圖2.確定操作系統平臺
在這樣做了之后,如果惡意軟件最初不是作為參數提供的,它會設置用戶ID為“2”。設備的名稱也會根據命令的輸出進行設置:
圖3.設備名稱已設置
hugepage和memlock 也被設置,以提高設備的性能,并為加密貨幣挖掘提供更多的計算能力:
圖4. Hugepage和Memlock設置
一旦設置完成,腳本就會下載這個礦工,偽裝成一個libhwloc4庫的下載。然后,將其解壓縮到 “/opt” 文件夾中,并使用以下命令運行:
圖5. 礦工被下載
有趣的是,惡意腳本還包含一個基本的持久性機制,即使在重新啟動之后,它也能保持礦工的運行:
圖6.惡意腳本使用持久性機制
圖7.在被攻擊的主機上創建的結果文件結構
文件cmd.txt列出了用于運行帶有參數的“mservice”二進制文件的命令,然后安裝實際的礦工“YiluzhuanqianSer”。(請注意,礦工與潛在的詐騙網站域名相關)
圖8. 加密貨幣礦工被安裝
此外,在conf.json文件中有web shell/后門程序。同時,“Work”目錄包含兩個二進制文件,甚至包含一個cmd.txt文件,其中包含用于運行礦工的命令。它們的參數存儲在workers.json文件中:
圖9. conf.json中的Web shell /后門
 圖10. “Work”目錄
圖11. workers.json中的參數
如上所述,這種以聯網設備為目標的采礦作業并非首創。此外,利用bot瞄準物聯網設備的安全事件已經多次成為頭條新聞,最引人注目的是臭名昭著的基于Linux的僵尸網絡Mirai。使用僵尸網絡也許是攻擊者為了自己的利益而濫用物聯網(在本案例中用于加密貨幣挖掘)的最普遍的方式之一。一個單一的受損設備可能不夠強大,但是當惡意軟件以“bot-enabled”的方式傳播時,一支采礦僵尸大軍在未來可能會被證明是有利可圖的。
妥協指標(IOCs)
文件名
mservice_2_5.sh
yilu.tgz
yilu_2_5.tgz
URLs
hxxp://p1v24z97c[.]bkt[.]clouddn[.]com
hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz
IP地址
114.114.114.114
192.158.22.46
目標端口
1993, 1992
相關哈希值(SHA256),檢測為COINMINER_TOOLXMR.O-ELF:
l e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a
l 2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8
l adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe
l 6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b
| 
