PyCryptoMiner加密货币挖矿软件及僵尸网络 攻击linux服务器 获利6万美元

专家们认为,一个经验丰富的网络犯罪集团已经针对有漏洞的Linux系统,创建了一个PyCryptoMiner僵尸网络程序,并且将这些被感染服务器和设备用于挖掘一种数字加密货币门罗币(Monero)。

攻击用的Python脚本存在于几乎所有发行版的解释器中

与最近几个月发生的其他门罗币挖掘僵尸网络相比,这种依靠Python脚本而不是恶意软件二进制文件的攻击很独特。来自F5的专家表示:

“不同于二进制恶意软件的替代,基于语言脚本的恶意软件很容易被混淆,因而天生更隐蔽。它同样也是由一个合法的二进制文件执行的,这个二进制文件可能存在于几乎所有Linux或Windows发行版中,所附带的PERL、Python、Bash、Go、PowerShell的解释器中。”

尽管如此,一旦研究人员确定了恶意软件的样本,了解它的构造就不那么复杂了

PyCryptoMiner恶意软件的工作原理

攻击者对暴露SSH端口的Linux系统发动暴力破解攻击,破解密码之后,用Python脚本将门罗币挖矿软件安装在被感染的服务器或设备上。

据F5 Networks的专家介绍,攻击者现在也开始利用JBoss的服务器漏洞(CVE-2017-12149)来攻击存在漏洞的计算机,但SSH攻击和暴力破解攻击仍是这种僵尸网络新收入来源的代表。

专家们表示,在感染目标后,这些不法分子们会下载一个非常简单、初级的base64编码的“先锋”Python脚本,收集来自受害系统的信息,并报告给远程C&C服务器。

服务器会以Python字典文件的形式返回第二个Python脚本,该文件会安装一个开源的门罗币挖矿客户端。

专家说,他们已经确定了这个僵尸网络使用的两个门罗币账户,并将其命名为PyCryptoMiner。 其中一个账户含有94个门罗币,另一个中有64个,总价值约合6万美元。

僵尸网络依赖于旧的威胁角色

此外,研究人员表示,PyCryptoMiner使用的C&C域名的注册者,绑定超过36,000个域名和234个其他电子邮件地址,都被用于涉及诈骗、赌博和成人服务的的域。

另一件让研究人员感兴趣的事是,PyCryptoMiner会使用一个硬编码的Pastebin链接,来取回主域关闭时备份C&C服务器的位置。

专家说这个Pastebin网址已经被浏览了超过175,000次。因为自动程序可能已经多次查看这个页面,这不是僵尸网络的实际大小。有关僵尸网络实际大小的一个更准确指标是,每天大约会增加1,000次浏览量。

这是一个非常小的门罗币采矿僵尸网络,但已足够让开发者盈利超过6万美元,显示出目前这种僵尸网络的流行程度和盈利能力。在本周早些时候,当F5研究人员发表他们的调查结果时,该僵尸网络已经停止运行。

在最近几个月,有关门罗币挖矿的恶意软件变得相当流行。除了cryptojacking事件(同样挖门罗币)之外,我们在2017年看到的门罗币挖矿恶意软件和僵尸网络还包括了Digmine(针对WordPress网站的未命名僵尸网络),Hexmen、Loapi、Zealot、WaterMiner(以IIS 6.0服务器为目标的未命名僵尸网络),以及CodeFork和Bondnet。

发表评论