专栏首页FreeBufSSH僵尸主机挖矿木马预警

SSH僵尸主机挖矿木马预警

XMR(门罗币)是目前比特币等电子货币的一种,以其匿名性,支持CPU挖矿,以及不菲的价格等特点,得到了“黑产”的青睐。瀚思科技挖掘出黑产利用互联网服务器进行挖矿的通用模式,以及多个挖矿后台更新服务器。攻击和挖矿方式显示黑产组织在相互竞争、木马更新等方面较去年又上了一个台阶。

门罗币价格走势图

事件描述

近日,黑客利用SSH暴力破解服务器后种植挖矿木马,我们追踪到了其多个后台更新服务器。

黑客攻击服务器与种植挖矿木马过程包括三个步骤:

1. 攻击者探测SSH服务 2. 攻击者对SSH服务账户和密码进行暴力破解 3. 一旦暴力破解成功,攻击者远程下载并运行挖矿程序

下图是一个挖矿木马后台服务器的截图,从图中可以看出116.196.120.20这台服务器从2018年1月26日14点开始,xm.sh(下载器程序)已经被下载过1277次。在对其监控的过程中,发现各个程序也在做频繁的更新。

其中:

1. 程序Carbon是实际使用的挖矿程序。

2. 文件xm.sh是在成功登录服务器后执行的shell程序。

这段代码包括了三部分:

· 攻击者首先杀掉其他的挖矿程序,来保证自身的收益。注:黑产中的竞争也是越来越激烈了。 · 远程下载服务器上对应的挖矿程序。 · 配置好矿池以及钱包地址,执行挖矿程序。

3.文件xmm.sh是更新后的shell程序,与xm.sh相比,修改了矿池链接。目的是选择更高算力的矿池。

4.程序1.ps1是windows平台下类似xm.sh的脚本程序,同样实现类似的三个功能,首先kill其他的挖矿程序,然后远程下载服务器上对应的的挖矿程序,最后配置好矿池以及钱包地址,执行挖矿程序。

5.程序Server.exe是一个远控木马程序,在执行后连接dx.777craft.com:7777。

挖矿黑客之间的竞争愈发激烈

对比之前发现的同类型挖矿木马,本次发现的挖矿木马在代码上已经有了进一步的提升,之前发现的挖矿脚本,主要杀掉具体进程名,目前主要根据矿池信息杀掉挖矿进程,扩大了有效范围。下图是两种类型挖矿木马杀掉其他木马的方式比较:

黑客的获利估计

从目前的样本获取的钱包地址来看,之前的挖矿币池已经向攻击者的钱包提交了34个XMR(约合8500美元,以当天价格$250计算)。但由于被矿池判定为僵尸网络非法挖矿,该钱包剩余的7个XMR已被冻结:

因此,攻击者通过杀掉了自己之前的挖矿程序,再次注册了新的钱包地址进行挖矿,目前新地址钱包的金额如下图,可以看出15天前已经修改了新的挖矿地址。

从目前掌握的情报,综合溯源到的10多台服务器访问信息、钱包地址,该攻击者目前至少已经控制了3万多台主机,获取了约300多个门罗币,以目前的XMR(门罗币)价格已近10万美元。

挖矿相关IoC:

IP地址:

116.196.86.246:7800116.196.120.20:7800210.76.63.207:3721182.18.22.71:80

domain:

dx.777craft.com:7777

钱包地址:

46SDR76rJ2J6MtmP3ZZKi9cEA5RQCrYgag7La3CxEootQeAQULPE2CHJQ4MRZ5wZ1T73Kw6Kx4Lai2dFLAacjerbPzb5Ufg47X8knnXfd2WWr7q3DigPTTSiAtpqawVmhQuCGzTBmmULy75u7KyZMZPzn1r23oHn3QUJFcwBqp6rbaJAzigr9U5SscpVW8

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-02-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火...

    FB客服
  • 2019上半年恶意挖矿趋势报告

    上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木...

    FB客服
  • 勒索未去挖矿又来,解读网络淘金热的黑暗面

    在过去的几年中,勒索软件大行其道,它创造了一个高利润的商业模式,允许攻击者将恶意活动货币化。但是勒索软件也有诸多限制,首先只有少部分人会真的交付赎金,其次,随着...

    FB客服
  • 想要“挖矿”致富?小心这些方式让你被挖矿,让别人致富!

    镁客网
  • 恶意挖矿攻击现状分析

    本文首先介绍了恶意挖矿攻击相关知识,然后重点分析恶意挖矿活动的现状,最后分别针对企业和个人分别提出了一些实用的防护措施和建议。

    绿盟科技研究通讯
  • 只听过“云养猫”、“云养娃”,竟然还有“云挖矿”?

    2018年伴随着区块链的“疯狂” 加密货币市场也火爆起来 越来越多的新晋“矿工”加入其中 面对高昂的矿机成本和运营成本 不法黑客再出“奇招”——“云上挖矿” ...

    腾讯云安全
  • 事件分析 | 门罗币挖矿新家族「罗生门」

    腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样...

    云鼎实验室
  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火...

    FB客服
  • 2019上半年恶意挖矿趋势报告

    上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木...

    FB客服
  • WaterMiner:一款全新的挖矿恶意软件分析

    终端安全厂商Minerva实验室近日发现了一个恶意软件,它可以在挖掘加密货币时完全逃避杀毒软件的检测。

    用户6477171

扫码关注云+社区

领取腾讯云代金券