【 虛體貨幣 】 挖礦殭屍透過詐騙網站,攻擊執行SSH服務的裝置

因為運算能力的關係,利用物聯網(IoT ,Internet of Thing來進行虛擬貨幣挖礦是否實際一直是個問號。但儘管如此,趨勢科技還是會看到有惡意份子針對連網裝置,甚至在地下市場也會提供虛擬貨幣挖礦病毒。

我們的蜜罐系統被設計成模擬SSH、Telnet和FTP服務,最近偵測到跟IP地址192.158.228.46相關的挖礦殭屍。這地址看起來會搜尋SSH和IoT相關端口,包括22、2222和502。不過在此次攻擊中,這個IP會連到端口22,即SSH服務。此種攻擊可作用在所有執行SSH服務的伺服器和連網裝置。

 

引起我們注意的是:金融詐騙網站也在進行虛擬貨幣挖礦

殭屍網路(botnet)搜尋可以讓攻擊者進行漏洞攻擊的裝置。一旦找到並攻擊成功,就會執行wget命令來下載腳本檔案,隨後執行腳本並安裝惡意軟體。

殭屍網路將惡意腳本mservice_2_5.sh放在hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/。這腳本接著會從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz下載檔案,將輸出儲存在“/tmp”資料夾。(網域名稱唸起來就是“一路賺錢”)。這種技術被廣泛地用來攻擊Linux伺服器。這個殭屍網路可以在Linux上安裝挖礦程式,甚至在安裝腳本內加入持久性機制,將服務加入到crontab(crontab是定期執行命令的設定檔)。

我們在檢查腳本去下載檔案的網站後發現,它似乎是個金融詐騙網站。從攻擊行為來看,第一個網址只是個起始點。如果網址被封鎖,攻擊者可以切換到另一個網域繼續操作,不會影響到這個詐騙網站。

透過社交工程(social engineering ),使用者會被誘騙安裝挖礦程式,將收益(在此案例中是以門羅幣和以太坊的方式)聚集到相關網站。這詐騙網站看起來像是個正常網站,但當我們深入研究之後,我們發現網站用來講解如何加速挖礦的文章(hxxps://www[.]zjian[.]blog/148[.]html)和教學影片(hxxps://www[.]bilibili[.]com/video/av19589235/)。

 

攻擊如何進行

執行mservice_2_5.sh腳本後,它會先ping Baidu[.]com來檢查網路連線:

Figure 1. Script checks for connectivity

圖1、腳本檢查連線

接著確認執行的作業系統(OS),特別是在使用的Linux版本:

OS platform is determined
圖2、確認OS平台

 

執行完後,如果惡意軟體沒有提供初始參數,就會用命令輸出作為裝置名稱:

Figure 3. Device name is set

圖3、設定裝置名稱

 

接著設定hugepage和memlock來增強裝置效能,讓虛擬貨幣挖礦有更強的運算能力:

Figure 4. Hugepage and memlock setup

圖4、設定Hugepage和memlock

 

設定完後,腳本會下載挖礦程式(偽裝成下載libhwloc4程式庫)。然後將其解壓縮到資料夾“/opt”並用以下命令執行:

Figure 5. Miner gets downloaded

圖5、下載挖礦程式

 

有意思的是,惡意腳本還包含基本的持久性機制,即使是重新啟動也能確保挖礦程式執行:

 

Figure 6. Malicious script employs a persistence mechanism

圖6、惡意腳本使用持久性機制

Figure 7. Resulting file structure created on the attacked host

圖7、在受攻擊主機上建立的檔案結構

 

檔案cmd.txt列出用於執行“mservice”的命令和參數,然後安裝真正的挖礦程式“YiluzhuanqianSer。”(注意到這挖礦程式與詐騙網站有關聯。):

 

Figure 8. Cryptocurrency miner gets installed

圖8、安裝虛擬貨幣挖礦程式

 

此外,conf.json檔案內還包含了web shell/後門程式。同時,“Work”資料夾包含了兩個二進位檔案以及包含執行挖礦程式指令的cmd.txt檔案。這些參數儲存在workers.json檔案中:

Figure 9. Web shell/backdoor in conf.json

圖9、conf.json內的Web shell/後門程式

Figure 10. Work directory
圖10、Work資料夾

 

Additionally, there is the web shell/backdoor in a conf.json file. Meanwhile, the “Work” directory includes two binaries and even a cmd.txt file that contains commands used to run the miner. The parameters, for their part, are stored in the workers.json file:

Figure 11. Parameters in workers.json
圖11、workers.json內的參數

 

如前所述,以連網裝置為目標的挖礦病毒攻擊並非第一次。利用殭屍網路來攻擊物聯網裝置的資安事件也多次成為頭條,像是最受人注目的Linux殭屍網路Mirai。使用殭屍網路(botnet)或許是駭客為了自身利益來濫用物聯網的最常見方式(在此例中是虛擬貨幣挖礦)。單一被入侵的裝置可能不夠強大,但當惡意軟體以殭屍網路方式散播時,一群挖礦殭屍就可能會有利可圖。

 

解決惡意虛擬貨幣挖礦活動

此次的攻擊者似乎多花了一點心思,用看似普通的詐騙網站來掩蓋挖礦活動。就算這樣還是造成了不好的影響:在使用者的裝置偷偷進行虛擬貨幣挖礦會消耗大量電力並耗盡運算能力。

隨著非法虛擬貨幣挖礦活動持續出現,採用標準安全措施來降低風險非常重要,例如:

  • 定期更新設備韌體以避免利用已知漏洞的攻擊。
  • 更改設備的預設帳號密碼並用強密碼來阻止惡意連線。
  • 小心已知的攻擊媒介,例如社交工程連結、附件檔和來自不同網站、第三方應用程式和電子郵件的檔案。

使用者還可以採用混合跨世代威脅防禦技術來防護各種虛擬貨幣病毒的安全解決方案。趨勢科技XGen™ 防護提供高保真機器學習技術來防護 閘道端點,並且保護實體、虛擬和雲端的工作機。使用網頁/網址過濾、行為分析和客製化沙箱等技術,讓XGen技術能夠抵禦會不斷進化來繞過傳統安全防護和攻擊已知/未知漏洞的各種威脅。XGen技術同時驅動著趨勢科技的安全軟體套件:Hybrid Cloud SecurityUser ProtectionNetwork Defense

 

趨勢科技Smart Home Network解決方案的使用者可以透過下列規則來防護SSH暴力登入:

  • 1059418, SSH Brute Force Login

 

入侵指標(IOC

 

檔案名稱:

mservice_2_5.sh

yilu.tgz

yilu_2_5.tgz

 

網址:

hxxp://p1v24z97c[.]bkt[.]clouddn[.]com

hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz

 

IP地址:

114.114.114.114

192.158.228.46

 

目的端口:

1993、1992

 

相關雜湊值(SHA256),偵測為COINMINER_TOOLXMR.O-ELF:

  • e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a
  • 2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8
  • adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe
  • 6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b

 

@原文出處:Cryptocurrency-Mining Bot Targets Devices With Running SSH Service via Potential Scam Site 作者: Jindrich Karasek和Loseway Lu)