专栏首页企鹅号快讯由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币

由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币

“用指尖改变世界”

F5 Networks的安全研究人员已经发现了一个新的Linux加密僵尸网络并将其命名为“PyCryptoMiner”,它正在扩展到SSH协议上。

根据研究人员的描述,PyCryptoMiner主要包括以下五个特性

基于Python脚本语言,意味着很难被检测到;

在原始命令和控制(C&C)服务器不可用时,利用Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的C&C服务器分配;

注册人与超过3.6万个域名相关联,其中一些域名自2012年以来一直以诈骗、赌博和成人服务而闻名;

被用于开采一种深受网络犯罪分子青睐且具备高度匿名性的加密货币——门罗币(Monero)。截至2017年12月下旬,PyCryptoMiner已经开采了大约价值4.6万美元的门罗币;

利用CVE-2017-12149漏洞,在12月中旬推出了针对易受攻击的JBoss服务器的新扫描功。

研究人员表示,针对在线Linux系统构建僵尸网络开始变得越来越普遍,特别是在物联网设备兴起的最近几年。

与二进制恶意软件替代方案不同,基于Python脚本语言,使得PyCryptoMiner更容易被混淆、更具规避性。此外,它也是由一个合法的二进制文件执行的。

PyCryptoMiner通过尝试猜测目标Linux设备的SSH登录凭证进行传播,如果成功,它将部署一个简单的base64编码的Python脚本,用于连接C&C服务器以下载和执行额外的Python代码。

这个Python脚本还会收集有关受感染设备的信息,包括主机/DNS名称,操作系统名称和体系结构、CPU数量以及CPU使用率。它还会检查设备是否已经受到感染,以及bot(“肉鸡”)是否用于门罗币挖掘或扫描。

大多数恶意软件都会对C&C服务器的地址进行硬编码,这导致原始C&C服务器不可用时,无法告知僵尸网络切换到另一台C&C服务器。在这里,PyCryptoMiner的创建者使用了一个独特的技巧。在原始C&C服务器不可用时,他使用Pastebin[.]com托管了用于替代的备用C&C服务器地址,并且可以随时进行更新。

研究人员通过Pastebin[.]com页面提供的信息确认,PyCryptoMiner可能在2017年8月就已经启动。在调查中,该资源已被查看了177,987次,且每天大约会增加1000次左右。

另外,研究人员还发现由“WHATHAPPEN”用户创建的更多相关资源似乎都采用了相似的Python脚本,主要区别在于它们正在与不同的C&C服务器通信。

研究人员在查询域名为“zsw8.cc” 的C&C服务器时发现,注册人名称为“xinqian Rhys”。 此注册人与235个电子邮箱地址和超过3.6万个域名相关联。对注册人的快速搜索结果显示,自2012年以来,这些域名被用于诈骗、赌博和成人服务。

在F5 Networks的调查中,PyCryptoMiner的bot是一个门罗币矿工,同时也感染了一个名为“wipefs”的二进制可执行文件,这个文件已经被多个反病毒厂商检测到(至少自2017年8月13日)。

PyCryptoMiner使用了两个钱包地址,分别有94和64个门罗币,约价值4.6万美元。

此外,PyCryptoMiner的创建者在12月中旬在WHATHAPPEN的帐户下出现了一个名为“jboss”的新资源。根据代码来看,它是一个扫描程序,被用于寻找受CVE-2017-12149漏洞影响的JBoss服务器

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文来自企鹅号 - 黑客视界媒体

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

    F5 Networks 的安全研究人员 发现 了一个新的 Linux 加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开 SS...

    企鹅号小编
  • Python从零基础到精通!小白也能学会!

    引言 Functional Programming(函数式编程)的概念最早起源于LISP,由约翰·麦卡锡在1958年创立,最早提出了自动垃圾回收的理念,这一理念...

    企鹅号小编
  • 负载均衡原理的解析

    作者:源子姗 my.oschina.net/u/3341316/blog/877206 开头先理解一下所谓的“均衡” 不能狭义地理解为分配给所有实际服务器一样多...

    企鹅号小编
  • Tomcat8访问管理页面localhost出现:403 Access Denied

    仔细一看,已经提示我们的context.xml中没有配置权限,此时我们只需要用最高效的解决办法就是

    Arebirth
  • NoSQL Peer-to-Peer Replication 对等复制

    翻译内容: NoSQL Distilled 第四章 Distribution Models 作者简介: ? 本节摘要: 今天我们主要讨论有关...

    ImportSource
  • java基础|验证ArrayList的线程不安全

    本网站记录了最全的各种JavaDEMO ,保证下载,复制就是可用的,包括基础的, 集合的, spring的, Mybatis的等等各种,助力你从菜鸟到大牛,记得...

    微笑的小小刀
  • VBA/VB6/VB.NET 采用金山词霸在线翻译函数(自动识别语言种类)

    巴西_prince
  • TW Insight - Good Practices to Build Your AngularJS Application

    这是来自ThoughtWorks巴西团队分享的一些使用AngularJS的一些技巧和教训。经验内容包括结构、依赖注入、HTML扩展、作用域和模块。这是2014年...

    ThoughtWorks
  • 从估值角度看家电行业表现,家电龙头依然具备估值修复空间

    家用电器属于可选消费行业,所谓”可选消费”,是指的除食品、日用品等生活必需品以外的消费。

    庄帅
  • mysql慢日志实践

    慢日志查询的主要功能就是,记录sql语句中超过设定的时间阈值的查询语句。例如,一条查询sql语句,我们设置的阈值为1s,当这条查询语句的执行时间超过了1s,则将...

    卡二条的技术圈子

扫码关注云+社区

领取腾讯云代金券