在連接到物聯(lián)網(wǎng)(IoT)的設(shè)備上進(jìn)行加密貨幣挖掘的實用性在計算能力方面通常是有問題的。盡管如此,我們還是看到一些犯罪分子將聯(lián)網(wǎng)設(shè)備作為了目標(biāo),甚至隱秘地提供了加密貨幣惡意軟件。
我們的用于模擬Secure Shell(SSH)、Telnet和文件傳輸協(xié)議(FTP)服務(wù)的蜜罐傳感器最近檢測到了一個與IP地址192.158.228.46相關(guān)的采礦bot。而這個地址早已經(jīng)被發(fā)現(xiàn)用于搜索與SSH和物聯(lián)網(wǎng)相關(guān)的端口,包括22、2222和502。在這次特定的攻擊中,IP已經(jīng)登陸到了SSH服務(wù)端口22,且攻擊可以適用于所有服務(wù)器和運行SSH服務(wù)的聯(lián)網(wǎng)設(shè)備。
是什么引起了我們的注意?潛在的金融詐騙網(wǎng)站也在挖掘加密貨幣
這個Bot會搜索具有開放遠(yuǎn)程桌面協(xié)議(RDP)端口的設(shè)備,該端口允許攻擊者利用易受攻擊的設(shè)備。一旦攻擊者識別出可以利用的設(shè)備,它就會嘗試運行wget命令,將腳本下載到一個目錄中,該目錄隨后將運行該腳本并安裝惡意軟件。
操作模式是這樣的:首先,bot使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/來托管惡意腳本mservice_2_5.sh。然后,該腳本將從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz下載文件,并將輸出保存在“/tmp”文件夾中。(這里有一個很有意思的地方,這個域名似乎是由漢語拼音構(gòu)成的,翻譯過來可能就是“一路賺錢”)
以上這種技術(shù)被廣泛應(yīng)用于針對基于linux的服務(wù)器。這個特殊的bot能夠在Linux上加載礦工程序,甚至在安裝程序腳本中添加了一個持久性機(jī)制,以便能夠向crontab(用于設(shè)置周期性被執(zhí)行命令的配置文件)添加一個服務(wù)。
在查看腳本試圖下載文件的網(wǎng)站時,我們發(fā)現(xiàn)它似乎是一個金融詐騙網(wǎng)站。從攻擊者的行為來看,第一個URL只能被用來作為一個“起跳點”。這意味著如果連接被阻止,攻擊者可以切換到另一個域繼續(xù)操作,而不會失去潛在的詐騙網(wǎng)站本身。
通過社交工程,用戶被誘騙安裝礦工,直接將利潤(在這個案例中以門羅幣和以太坊代幣的形式)轉(zhuǎn)移到相關(guān)網(wǎng)站。這個詐騙網(wǎng)站被制作成看上去是一個普通的網(wǎng)站,但當(dāng)我們深入挖掘更多信息的時候,我們發(fā)現(xiàn)了一個博客(hxxps://www[.]zjian[.]blog/148[.]html)和一個視頻教程頁面(hxxps://www[.]bilibili[.]com/video/av19589235/),介紹了如何簡化挖掘工作。
活動是如何進(jìn)行的?
一旦mservice_2_5.sh腳本運行,它首先會通過ping Baidu[.]com來檢查網(wǎng)絡(luò)連接:
圖1.腳本檢查連接
然后,確定它運行在什么操作系統(tǒng)(OS)上,特別是正在使用的是哪個Linux發(fā)行版本:
圖2.確定操作系統(tǒng)平臺
在這樣做了之后,如果惡意軟件最初不是作為參數(shù)提供的,它會設(shè)置用戶ID為“2”。設(shè)備的名稱也會根據(jù)命令的輸出進(jìn)行設(shè)置:
圖3.設(shè)備名稱已設(shè)置
hugepage和memlock 也被設(shè)置,以提高設(shè)備的性能,并為加密貨幣挖掘提供更多的計算能力:
圖4. Hugepage和Memlock設(shè)置
一旦設(shè)置完成,腳本就會下載這個礦工,偽裝成一個libhwloc4庫的下載。然后,將其解壓縮到 “/opt” 文件夾中,并使用以下命令運行:
圖5. 礦工被下載
有趣的是,惡意腳本還包含一個基本的持久性機(jī)制,即使在重新啟動之后,它也能保持礦工的運行:
圖6.惡意腳本使用持久性機(jī)制
圖7.在被攻擊的主機(jī)上創(chuàng)建的結(jié)果文件結(jié)構(gòu)
文件cmd.txt列出了用于運行帶有參數(shù)的“mservice”二進(jìn)制文件的命令,然后安裝實際的礦工“YiluzhuanqianSer”。(請注意,礦工與潛在的詐騙網(wǎng)站域名相關(guān))
圖8. 加密貨幣礦工被安裝
此外,在conf.json文件中有web shell/后門程序。同時,“Work”目錄包含兩個二進(jìn)制文件,甚至包含一個cmd.txt文件,其中包含用于運行礦工的命令。它們的參數(shù)存儲在workers.json文件中:
圖9. conf.json中的Web shell /后門
 圖10. “Work”目錄
圖11. workers.json中的參數(shù)
如上所述,這種以聯(lián)網(wǎng)設(shè)備為目標(biāo)的采礦作業(yè)并非首創(chuàng)。此外,利用bot瞄準(zhǔn)物聯(lián)網(wǎng)設(shè)備的安全事件已經(jīng)多次成為頭條新聞,最引人注目的是臭名昭著的基于Linux的僵尸網(wǎng)絡(luò)Mirai。使用僵尸網(wǎng)絡(luò)也許是攻擊者為了自己的利益而濫用物聯(lián)網(wǎng)(在本案例中用于加密貨幣挖掘)的最普遍的方式之一。一個單一的受損設(shè)備可能不夠強(qiáng)大,但是當(dāng)惡意軟件以“bot-enabled”的方式傳播時,一支采礦僵尸大軍在未來可能會被證明是有利可圖的。
妥協(xié)指標(biāo)(IOCs)
文件名
mservice_2_5.sh
yilu.tgz
yilu_2_5.tgz
URLs
hxxp://p1v24z97c[.]bkt[.]clouddn[.]com
hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz
IP地址
114.114.114.114
192.158.22.46
目標(biāo)端口
1993, 1992
相關(guān)哈希值(SHA256),檢測為COINMINER_TOOLXMR.O-ELF:
l e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a
l 2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8
l adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe
l 6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b
| 
