比特币没落，门罗币崛起：新的Linux 门罗币挖矿工具——PyCryptoMiner

现在比特币似乎已经不是黑客们的最爱了，由于过去比特币一直被认为是“犯罪货币”，所以执法机构已经开发出追踪技术来调查比特币的交易记录了。而门罗币的不可追踪性，决定了它未来必然会受到黑客的欢迎。

据coinmarketcap.com的数据显示，门罗币的价格在2017年最后两个月翻了两倍至349美元，而同期比特币大约只翻了一倍左右，所以最近出现了大量的针对门罗币的挖掘事件。

这不最近，F5 Networks的安全研究人员又发现了一个名为PyCryptoMiner的新的Linux 门罗币挖矿僵尸网络，而且是可以通过SSH协议进行传播新的Linux加密僵尸网络。

有的时候，用python来解密比用C++快很多，省去了很多建工程的力气。所以Python是每一个加密解密人员必备的一门语言。不过如果安全人员的系统是Linux，那么就可以轻松地完成python的安装过程，但如果安全人员的系统是Winodws，那么就需要在Windows上重新编译。所以python的使用系统一般都是在Linux上，这也就不难理解为什么本次的PyCryptoMiner只针对Linux了。另外由于过去一年，黑客利用僵尸网络进行挖矿的势头迅猛，所以许多安全解决方案都增加了这方面的检测。鉴于此，黑客开发的挖矿工具也是与时俱进，具有了更多的隐蔽性。PyCryptoMiner僵尸网络就是基于Python脚本语言，这样PyCryptoMiner就会伪装成一个合法的二进制文件来执行挖矿过程，但这个过程由于被混淆过了，所以很难被检测到。

截止发文前，研究人员已在黑客的两个PyCryptoMiner钱包地址中，分别发现了94和64个门罗币，约价值6万美元，而这只是所获利的一小部分。

PyCryptoMiner的攻击过程

针对Linux系统构建僵尸网络已是非常普遍的攻击媒介了，特别是在物联网设备兴起的最近几年，基于Python的脚本语言，似乎已成攻击趋势。与二进制恶意软件替代方案不同的是，基于脚本语言的恶意软件本质上更能逃避检测，因为它可能很容易被混淆，另外它也是由一个合法的二进制文件执行的，它可能是几乎所有Linux/Windows发行版中的PERL/ Python/Bash/Go/PowerShell解释器之一。

混淆Python脚本

PyCryptoMiner通过尝试猜测目标Linux系统的SSH登录凭据进行传播。一旦SSH凭证被猜出，僵尸网络就会部署一个简单的base64编码的Python脚本，用于连接C＆C服务器来下载和执行额外的Python代码。

基于Python脚本语言，所以很难被检测到；在C＆C服务器不可用时，PyCryptoMiner会利用Pastebin[.]com（在用户名“WHATHAPPEN”下）接收新的C＆C服务器分配。根据目前的调查，“WHATHAPPEN”已与3.6万多个域名相关联，其中一些域名自2012年以来就开始实施诈骗、赌博和色情服务。

另外研究人员发现该僵尸网络最近又增加了它是一个扫描程序，被用于寻找受CVE-2017-12149漏洞影响的JBoss服务器。JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149)，远程黑客利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。由于该漏洞的细节和验证代码已公开，所以出现了大规模利用该漏洞尝试的攻击。

但是，这个僵尸网络的开发者非常聪明。由于大多数恶意软件都会对C＆C服务器的地址进行硬编码，所以当原始C＆C服务器不可用时，就会出现服务器无法告知僵尸网络已切换到另一台C＆C服务器的情况。因此，如果原地址不可用的话，黑客就会使用Pastebin.com来发布一个替代的C＆C服务器地址。

在Pastebin.com上托管的备用C＆C服务器地址

黑客需要面对的挑战之一是如何保持可持续的C＆C基础架构，而不被企业安全解决方案快速列入黑名单，或者在执法和安全厂商的滥用报告之后经常被ISP和托管服务关闭。

因此黑客开始使用的更复杂的方法，就是公共文件托管服务，如Dropbox.com和Pastebin.com，这些服务不能轻易被列入黑名单或关闭。这种技术还允许黑客在需要时可更新C＆C服务器的地址。

值得注意的是，在写本文时，僵尸网络的C＆C服务器已被停止访问，这样所有新感染的僵尸都处于闲置状态，轮询“Patebin.com”页面。然而，黑客可以随时更新页面到一个新的C＆C服务器，以再次控制僵尸网络。

由于Pastebin.com的资源是公开的，研究人员也可以发现有关此操作的更多信息。由于用户名“WHATHAPPEN”于2017年8月21日创建了该资源，因此PyCryptoMiner可能在2017年8月就已经启动了。当研究人员写这篇文章的时候，这个资源已经被查看了177987次了。

Pastebin.com资源元数据

当进一步调查时，研究人员还发现由“WHATHAPPEN”用户创建的更多相关资源似乎都采用了相似的Python脚本，主要区别在于它们正在与不同的C＆C服务器通信。

更多相关的Pastebin.com资源

在查询这些C＆C服务器的域名“zsw8.cc”时，发现注册人名称为“xinqian Rhys”。

C＆C域名注册数据

此注册人与235个电子邮件地址以及36000多个域相关联。对注册人的快速搜索显示，自2012年以来，他所注册的域名就开始从事诈骗，赌博和成人服务。

成千上万的关联域

感染流程

该僵尸网络攻击过程分为几个阶段，如前所述，一旦执行Python脚本，另一个基于僵尸网络就会部署一个简单的base64编码的Python脚本，用于连接C＆C服务器来下载和执行额外的Python代码。

Python脚本

控制器脚本通过注册为 Cron JOB（配置定时任务）在受感染的设备上创建持久性，名为“httpsd”的原始攻击bash脚本包含一个每隔6小时运行一次的base64编码的Python单线程。

将攻击脚本添加到crontab

然后它会收集受感染设备上的信息：

1.主机/ DNS名称；

2.操作系统名称及其架构；

3.CPU数量；

4.CPU使用率。

收集到的信息表明该僵尸网络背后的商业模式就是挖掘加密货币，另外该脚本还会检查设备是否已经被恶意软件感染过，如果被感染过，则受感染的设备的当前正在执行什么任务。这个检查是通过在当前正在运行的进程中搜索几个预定义的恶意软件文件名来完成的。看起来该僵尸网络可以用作加密挖掘节点（运行“httpsd”或“minerd”进程），或者作为扫描节点（运行“webnode”或“safenode”进程）。

“Minerd”和“Scannode”进程

然后，收集到的信息将被发送到C＆C，C＆C以Python字典的形式回应任务的具体细节。

发送给C＆C的受感染节点的侦察报告

攻击任务包括：

“cmd”：作为一个单独的进程执行的任意命令；

“client_version”：如果从服务器接收到的版本号与当前的僵尸网络版本不同，它将终止僵尸程序并等待cron再次运行矛头脚本以部署更新的版本（当前值为“4”）；

“task_hash”：任务标识符，因此C＆C可以同步僵尸网络结果，因为每个命令都有不同的执行时间；

“conn_cycler”：轮询由控制的C＆C的时间间隔，可能会随着僵尸网络的增长来平衡C＆C基础架构上的载荷（默认值为15秒）。

执行任务命令后，设备人会将命令的输出发送到C＆C服务器，包括task_hash和僵尸网络标识符。

客户端执行任务并将结果发送给C＆C

在研究人员的研究案例中，PyCryptoMiner的bot是一个门罗币矿工，同时也感染了一个名为“wipefs”的二进制可执行文件，这个文件至少在2017年8月13日，就已经被多个安全预防的厂商检测到。

来自VirusTotal的恶意软件信息

可执行文件基于“xmrminer”，该文件正在挖掘门罗币，由于匿名性和不可追述性，现在门罗币已经成为网络犯罪分子的首选。

利用最新的JBoss反序列化（CVE-2017-12149）漏洞

该僵尸网络似乎还在发展，12月中旬在WHATHAPPEN的帐户下出现了一个名为“jboss”的新资源。

2017年12月12日，在PasteBin中发现了一个附加文件

“jboss”是一种基于base64编码的python代码，用于 python僵尸网络与C&C服务器的通信。

“jboss”资源是一个基于base64编码的Python代码

这些代码是具有扫描功能的，被用于寻找受CVE-2017-12149漏洞影响的JBoss服务器。它会通过JBoss常用的七个不同的TCP端口向“/ invoker / readonly”URL发送一个请求，如果服务器响应包含“Jboss”/“jboss”字符串的错误（500状态码），则会将目标URL报告给C＆C服务器。

扫描易受攻击的JBoss服务器

要扫描的目标列表由C＆C服务器控制，而僵尸网络则有单独的线程轮询C＆C服务器以获取新目标。此时服务器会响应一个C类IP范围进行扫描，但也可以提供一个IP地址。

从C＆C服务器获取扫描目标

门罗币收益

目前PyCryptoMiner使用了两个钱包地址，分别有94和64个门罗币，约价值6万美元。

IOCs

哈希值

d47d2aa3c640e1563ba294a140ab3ccd22f987d5c5794c223ca8557b68c25e0d

C&C

hxxp://pastebin.com/raw/yDnzKz72

hxxp://pastebin.com/raw/rWjyEGDq

hxxp://k.zsw8.cc:8080 (104.223.37.150)

hxxp://i.zsw8.cc:8080 (103.96.75.115)

hxxp://208.92.90.51

hxxp://208.92.90.51:443

hxxp://104.223.37.150:8090

影响的设备

/tmp/VWTFEdbwdaEjduiWar3adW

/bin/httpsd

/bin/wipefs

/bin/wipefse

/bin/minerd

/bin/webnode

/bin/safenode

/tmp/tmplog