首页 >  常见问题 >  使用CryptoSink技术进行比特币挖矿

使用CryptoSink技术进行比特币挖矿

发布时间:2019-5-14 09:14阅读量:31
摘要: 攻击者采用了更加创新的策略来干掉竞争者,获得更多的CPU资源,并保持在感染服务器的长期驻存。然而,这个攻击者所使用的sinkholing技术,也为安全人员带来了新的防御思路。但是,为了避免最初的感染,不论是代码层 ...

最近,F5 Networks威胁研究人员发现了一起利用2014年爆出的漏洞来传播集成XMR挖矿模块的恶意软件,从而对Elasticsearch系统进行攻击的比特币挖矿活动。

  • 1.此活动使用了一个具有五年历史的Elasticsearch系统(该系统可在Windows、Linux双平台部署)漏洞(CVE-2014-3120)来挖掘XMR加密货币。
  • 2.在Linux系统中,它使用了一些防病毒软件(AV)无法检测的新恶意软件(下载器及木马)。
  • 3.攻击者通过使用sinkhole技术将感染主机上其他挖矿程序的矿池地址指向127.0.0.1,从而避免资源竞争。
  • 4.为了长久驻存,它将Linux rm命令替换为随机时间后重新安装恶意软件的代码,使得分析人员难以找到主机重复感染的原因。
  • 5.攻击者通过将SSH密钥添加进感染主机的方式来留下后门。
  • 6.此活动使用了多个控制命令及C&C服务器, 目前的C&C服务器位于中国。

我们将此活动命名为CryptoSink,在分析中,我们发现了一种以前从未见过的攻击手法,攻击者使用这种方法来杀死感染主机上的竞争对手,并通过修改Linux remove(rm)命令的方式更隐蔽驻留在服务器上。

 

初始感染途径

该攻击起始于一些运行在Windows或Linux上的Elasticsearch发出的恶意HTTP请求。

Windows Payload

在下载Windows payload时,调用了系统自带的certutil命令从攻击者服务器下载恶意可执行文件,用于对SSL证书进行操作。这种操作在威胁活动中很普遍。

比特币挖矿

图1:含有Windows payload的HTTP请求

下载的名为nvidia.exe 的文件是一个XMR挖矿程序。

比特币挖矿

图2:VirusTotal中,53款杀软监测出了nvidia.exe

Linux Payload

与Windows相比,Linux payload涉及多个步骤。首先,和其他威胁活动一样,调用Linux中现有的curl或wget命令下载并执行名为ctos.sh的bash脚本。

比特币挖矿

图3:含有Linux payload的HTTP请求

然后,bash脚本将检查主机是否已经是僵尸网络的一部分,如果没有,则下载名为initdz2的二进制恶意软件。

比特币挖矿

图4:initdz2是一个ELF 64位可执行文件

 

定制化Linux Dropper

由C++编写的initdz2为dropper文件,用来下载并部署其他恶意软件。

图5:Linux系统下恶意文件执行流程

除了下载其他二进制文件外,该dropper还包含其他很多功能。幸运的是,通过攻击者在二进制文件中留下的特征,有效的降低了研究人员进行逆向分析的难度。

比特币挖矿

图6:initdz2恶意软件的主要功能

Dropper 检测率

不可思议的是,在VirusTotal中,该文件并未被标记为恶意文件。(截止目前为止)

比特币挖矿

图7:防病毒引擎并未检测出该Dropper

在VirusTotal中检索域名w.3ei.xyz相关的威胁情报信息时,可以看到正是从这里下载了初始恶意脚本及dropper文件。除此之外,还看到了一个名为initdz的文件,看起来应该是先前版本的dropper文件。

比特币挖矿

图8:VirusTotal列出了w.3ei.xyz域名下的文件

再检查一下VirusTotal,可以发现通过链接检索和直接上传文件,将产生不同的分析结果。通过链接检索,一些防病毒软件会将其判定为恶意,而直接上传样本,则并未被标记(如上文图7所示)。

图9:通过链接提交文件,VirusTotal检测结果更准确

 



12下一页

鲜花

握手

雷人

路过

鸡蛋
最新图文推荐
  • 2
  • 3
发表评论

最新评论

图文推荐
热门排行
现在注册,免费体验多款产品