基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH 端口的 Linux 系统。

根据研究人员的描述,PyCryptoMiner 主要包括以下五个特性:

1、基于 Python 脚本语言,这意味着很难被检测出来

2、在原始命令和控制(C&C)服务器不可用时,会利用 Pastebin.com(在用户名“WHATHAPPEN”下)接收新的 C&C 服务器分配

3、域名注册人与超过 3.6 万个域名相关联,其中一些域名自 2012 年以来一直以诈骗、赌博和成人服务而闻名

4、被用于开采一种深受网络犯罪分子青睐且具备高度匿名性的加密货币——门罗币(Monero)。截至 2017 年 12 月下旬,PyCryptoMiner 已经开采了大约价值 4.6 万美元的门罗币

5、利用 CVE-2017-12149 漏洞,在 12 月中旬推出了针对易受攻击的 JBoss 服务器的新扫描功能

与二进制恶意软件替代方案不同,基于 Python 脚本语言,使得 PyCryptoMiner 更容易被混淆、更具规避性。此外,它也是由一个合法的二进制文件执行的。

PyCryptoMiner 通过尝试猜测目标 Linux 设备的 SSH 登录凭证进行传播,如果成功,它将部署一个简单的 base64 编码的 Python 脚本,用于连接 C&C 服务器以下载和执行额外的 Python 代码。

这个 Python 脚本还会收集有关受感染设备的信息,包括主机/DNS名称,操作系统名称和架构、CPU 数量以及 CPU 使用率,它还会检查设备是否已经受到感染,以及受感染的设备是否用于门罗币挖掘或扫描。

研究人员通过 Pastebin[.]com 页面提供的信息确认,PyCryptoMiner 可能在 2017 年 8 月就已经启动。在调查中,该资源已被查看了 177987 次,且每天大约会增加 1000 次左右。

在查询这些 C&C 服务器的域名“zsw8.cc”时,发现注册人名称是“xinqian Rhys”

域名注册人与超过 3.6 万个域名相关联,其中一些域名自 2012 年以来一直以诈骗、赌博和成人服务而闻名。

PyCryptoMiner 使用了两个钱包地址,分别有 94 和 64 个门罗币,价值约为 4.6 万美元。

文章转载自 开源中国社区 [http://www.oschina.net]本文标题:基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人本文地址:https://www.oschina.net/news/92261/pycryptominer-linux-machines-turns-monero-mining-bots

原文发布于微信公众号 - Python中文社区(python-china)

原文发表时间:2018-01-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

930
来自专栏FreeBuf

JavaScript的注入引出技术诈骗

0×01 前言 在最近的恶意软件的调查中,我们发现了一些有趣的混淆JavaScript代码。此代码伪装成现在流行的插件AddThis social sharin...

2435
来自专栏企鹅号快讯

假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

“用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

2135
来自专栏FreeBuf

CODESYS WebVisu产品出现严重漏洞,影响100多款ICS系统

根据外媒 Securitweek 报道,Istury IOT 的朱文哲(音)发现 3S-Smart Software Solutions 的 CODESYS W...

2535
来自专栏FreeBuf

Roaming Mantis:通过Wi-Fi路由器感染智能手机

前段时间,我们的专家调查了一款他们称为Roaming Mantis的恶意软件。当时,受影响的人主要来自日本,韩国,中国,印度和孟加拉国的用户,所以我们没有在其他...

1175
来自专栏NewTech视野

从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷...

1030
来自专栏Seebug漏洞平台

Seebug漏洞平台2016年度报告

目录 一、概述 二、漏洞详情等信息以及漏洞验证程序(PoC)收录状况 2.1 漏洞验证程序(PoC)数量统计分析 2.2 收录漏洞的危害等级分布统计分析 2.3...

4283
来自专栏V站

当你360搜索引擎收录为0与1,被K时应该这么做?

在被360搜索引擎满收录的那些日子,突然有一天,许多站点都被K光(不包含新站),当然月宅酱的博客也不例外,被K了只有www一个首页,也没有拒绝360爬虫,更没有...

4622
来自专栏SAP最佳业务实践

SAP最佳业务实践:ETO–项目装配(240)-3创建客户订单

image.png VA01创建客户订单 在第一个步骤中创建客户订单。参考在业务情景 232: ETO - 报价处理中创建的报价创建订单。 角色销售助理 后勤®...

4547
来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

1573

扫码关注云+社区

领取腾讯云代金券