基于Python的挖矿僵尸出没，小心你的Linux

E安全1月10日讯 F5 Networks公司指出，近期出现的Linux加密货币采矿僵尸网络PyCryptoMiner采用Python脚本语言，具有很强的隐蔽性，其通过SSH实现传播。与其它采取硬编码命令与控制（C&C）服务器地址的恶意软件（一旦C&C服务器无法访问，恶意软件则停止运作）不同，PyCryptoMiner僵尸网络会在初始服务器不可用时利用便签网站Pastebin发布其它备选C&C服务器地址，持续运作。

PyCryptoMiner僵尸网络会在初始C&C服务器不可用时，利用Pastebin从新的C&C服务器处接收指令。在恶意人士的积极开发之下，该僵尸网络最近还新增了扫描功能，可以搜索易受攻击的开源JBoss服务器（利用CVE-2017-12149漏洞）。

Pastebin是一个便签网站，可以很方便的复制粘贴你的文本内容然后做成便签分享，很多黑客团队喜欢把自己的攻击成果（比如数据库、代码）贴在网站上来炫耀，2015年黑客开始利用Pastebin来传播后门。

根据估计，截至2017年12月底，PyCryptoMiner僵尸网络凭借门罗币这一加密货币所获得的收入已经达到4.6万美元（约合人民币30万元）左右。

PyCryptoMiner绝不是针对Linux系统的惟一僵尸网络威胁，基于脚本语言让该恶意软件更易被混淆。此外，F5公司的研究人员们还发现PyCryptoMiner拥有合法的二进制执行文件。

PyCryptoMiner的僵尸网络感染过程

该僵尸网络通过猜测目标Linux设备上的SSH登录凭证进行传播，一旦猜测成功，攻击肉鸡就会部署一套简单的base64编码Python传播脚本，专门用于接入C&C服务器以下载并执行其它Python代码。

第二阶段代码主要为肉鸡控制器，其会在受感染设备上注册一项cron作业以实现持久驻留。

原本的bash脚本还能够在受感染设备上收集各类信息，具体包括主机/DNS名称、操作系统名称与架构、CPU数量以及CPU使用情况等。此外，其还会检查目标设备是否已经受到感染，是否已被用于进行加密货币采矿或扫描。

该肉鸡随后会将收集到的信息发送至C&C服务器，而C&C则回复操作细节。后续操作任务包括执行任意命令、更新以及用于同步僵尸网络结果的标识符，外加轮询C&C服务器的时间间隔等。肉鸡会将任务的执行输出结果发送至C&C服务器处。

2017年12月中旬，该僵尸网络迎来一波代码更新，试图利用数个月前披露的漏洞CVE-2017-12149扫描易受攻击的JBoss服务器。

研究人员们指出，“待扫描的目标列表由C&C服务器负责控制，而肉鸡端则拥有一个单独的线程对C&C服务器进行轮询，借以获取新的目标。服务器使用C类IP地址范段响应扫描，但亦可提供单一IP地址。”

该僵尸网络使用两套地址池，各拥有94个与64个门罗币，总价值约在6万美元（约合人民币39万元）左右。该恶意软件背后的操控者到底获得了多少利润不得而知。

利用Pastebin让恶意软件持续运作

与其它采取硬编码C&C服务器地址的恶意软件（一旦C&C服务器无法访问，恶意软件则停止运作）不同，本僵尸网络会在初始服务器不可用时利用Pastebin发布其它备选C&C服务器地址。

根据F5方面的说法，目前该僵尸网络的所有C&C服务器都已经无法访问，所有新感染的肉鸡设备皆处于空闲状态，并不断轮询攻击者的Pstebin.com页面以待其更新。研究人员们根据该页面判断PyCryptoMiner僵尸网络很可能启动于2017年8月，截至调查之时已经被查看了17万7987次。

PyCryptoMiner僵尸网络规模未知

研究人员目前还无法确定该僵尸网络的具体规模，这主要是因为一旦C&C服务器下线，肉鸡设备将定期进行资源访问并发出大量请求。PyCryptoMiner僵尸网络的幕后操纵者昵称为“WHATHAPPEN”，且研究人员还发现有235个与之相关的邮件地址以及超过36000个相关域名。自2012年以来，该注册者不断参与各类诈骗、赌博与成人服务。

F5公司表示，为找寻更多重要线索，研究仍在继续。例如其中的“扫描工具节点”组件以及其它C&C服务器。一旦各个C&C服务器重新恢复运作，将会获取到更多详细信息。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/849097201.shtml