由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币

“用指尖改变世界”

F5 Networks的安全研究人员已经发现了一个新的Linux加密僵尸网络并将其命名为“PyCryptoMiner”,它正在扩展到SSH协议上。

根据研究人员的描述,PyCryptoMiner主要包括以下五个特性

基于Python脚本语言,意味着很难被检测到;

在原始命令和控制(C&C)服务器不可用时,利用Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的C&C服务器分配;

注册人与超过3.6万个域名相关联,其中一些域名自2012年以来一直以诈骗、赌博和成人服务而闻名;

被用于开采一种深受网络犯罪分子青睐且具备高度匿名性的加密货币——门罗币(Monero)。截至2017年12月下旬,PyCryptoMiner已经开采了大约价值4.6万美元的门罗币;

利用CVE-2017-12149漏洞,在12月中旬推出了针对易受攻击的JBoss服务器的新扫描功。

研究人员表示,针对在线Linux系统构建僵尸网络开始变得越来越普遍,特别是在物联网设备兴起的最近几年。

与二进制恶意软件替代方案不同,基于Python脚本语言,使得PyCryptoMiner更容易被混淆、更具规避性。此外,它也是由一个合法的二进制文件执行的。

PyCryptoMiner通过尝试猜测目标Linux设备的SSH登录凭证进行传播,如果成功,它将部署一个简单的base64编码的Python脚本,用于连接C&C服务器以下载和执行额外的Python代码。

这个Python脚本还会收集有关受感染设备的信息,包括主机/DNS名称,操作系统名称和体系结构、CPU数量以及CPU使用率。它还会检查设备是否已经受到感染,以及bot(“肉鸡”)是否用于门罗币挖掘或扫描。

大多数恶意软件都会对C&C服务器的地址进行硬编码,这导致原始C&C服务器不可用时,无法告知僵尸网络切换到另一台C&C服务器。在这里,PyCryptoMiner的创建者使用了一个独特的技巧。在原始C&C服务器不可用时,他使用Pastebin[.]com托管了用于替代的备用C&C服务器地址,并且可以随时进行更新。

研究人员通过Pastebin[.]com页面提供的信息确认,PyCryptoMiner可能在2017年8月就已经启动。在调查中,该资源已被查看了177,987次,且每天大约会增加1000次左右。

另外,研究人员还发现由“WHATHAPPEN”用户创建的更多相关资源似乎都采用了相似的Python脚本,主要区别在于它们正在与不同的C&C服务器通信。

研究人员在查询域名为“zsw8.cc” 的C&C服务器时发现,注册人名称为“xinqian Rhys”。 此注册人与235个电子邮箱地址和超过3.6万个域名相关联。对注册人的快速搜索结果显示,自2012年以来,这些域名被用于诈骗、赌博和成人服务。

在F5 Networks的调查中,PyCryptoMiner的bot是一个门罗币矿工,同时也感染了一个名为“wipefs”的二进制可执行文件,这个文件已经被多个反病毒厂商检测到(至少自2017年8月13日)。

PyCryptoMiner使用了两个钱包地址,分别有94和64个门罗币,约价值4.6万美元。

此外,PyCryptoMiner的创建者在12月中旬在WHATHAPPEN的帐户下出现了一个名为“jboss”的新资源。根据代码来看,它是一个扫描程序,被用于寻找受CVE-2017-12149漏洞影响的JBoss服务器

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文来自企鹅号 - 黑客视界媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

腾讯云接入域名变更备案资料过程记录

5753
来自专栏安恒信息

研究人员发现MAC上的DLL劫持技术

DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。 根据安全公司的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateK...

2965
来自专栏七夜安全博客

(原创)七夜在线音乐台开发 第一弹

1643
来自专栏源码之家

帝国CMS全自动采集——发布更新教程

3.4K4
来自专栏编程一生

业务高速增长场景下的稳定性建设实战

2342
来自专栏空木白博客

为爱❤心助力!替换网站的404为腾讯宝贝回家把404页面利用起来!

相信大家对404都是不陌生的,在一个站点的帖子找不到的时候都会进入404页面。

1863
来自专栏草根博客站长有话说

降低 CDN 付费 HTTPS 流量消耗实践总结

从明月下定决心开始使用又拍云 CDN 的时候,就有一个问题困扰着我,那就是 CDN 流量消耗是越来越大,最夸张的时候一天流量消耗达到了惊人的 2G 多了,这对于...

2103
来自专栏安智客

ARM物联网Mbed os和Mbed uvisor学习指南

先来看一张图: ? 上图较好的阐述了ARM公司物联网操作系统Mbed与Mbed如何联动构成IOT应用示意图图。终端物联网设备上使用MbedOS和Mbed云客户...

2865
来自专栏Pythonista

《超哥带你学Linux》

  “别提了,我用过Linux,就是黑乎乎一个屏幕,鼠标也不能用,不停地的敲键盘,手指头都给我磨破了!”

2193
来自专栏FreeBuf

黑客是如何通过RDP远程桌面服务进行攻击的

企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。 ...

33710

扫码关注云+社区

领取腾讯云代金券