2023年活跃挖矿木马盘点
时间 : 2024年01月29日 来源: 安天CERT
1.概述
挖矿木马通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算能力进行挖矿,从而获取非法收益。目前已知多个威胁组织(例如,H2Miner、“8220”等)传播挖矿木马,致使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2023年,安天CERT发布了多篇针对挖矿木马的分析报告,现将2023年典型的挖矿木马梳理形成组织/家族概览,进行分享。
表 1 2023年活跃挖矿木马组织/家族概览
|
挖矿木马组织/家族 |
出现时间 |
针对平台 |
|
“8220” |
2017年 |
Windows、Linux |
|
Outlaw |
2018年 |
Linux |
|
WatchDog |
2019年1月 |
Windows、Linux |
|
TeamTNT |
2019年10月 |
Linux |
|
H2Miner |
2019年12月 |
Windows、Linux |
|
Sysry-hello |
2020年12月 |
Windows、Linux |
|
libgcc_a/warmup |
2021年8月 |
Windows、Linux |
|
Kthmimu |
2022年3月 |
Windows、Linux |
|
aminer |
2022年6月 |
Linux |
|
Diicot/color1337/Mexals |
2022年10月 |
Linux |
2.挖矿木马的危害
1. 加重信息系统基础设施资源消耗与运行风险:挖矿木马普遍消耗信息系统基础设施的大量资源,使操作系统及其服务、应用软件运行缓慢,甚至造成正常服务崩溃,产生承载业务中断、业务数据丢失等一系列负面影响;
2. 危害信息系统基础设施使用寿命与运行性能:挖矿木马迫使信息系统基础设施长时间高负载运行,致使其使用寿命缩短,运行性能严重下降;
3. 浪费能源,增大碳排放量:挖矿木马挖矿会消耗大量电能,造成巨大的能源消耗,而现阶段我国电能的主要来源是煤炭类化石燃料燃烧供电,因此,其挖矿作业加剧碳排放污染;
4. 留置后门,衍生僵尸网络:挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门,接收远程IRC服务器指令、安装Rootkit后门等恶意行为,致使受害组织网络沦为僵尸网络;
5. 作为攻击跳板,攻击其他目标:挖矿木马支持攻击者控制受害者服务器进行DDoS攻击,以此服务器为跳板,攻击其他计算机,或者释放勒索软件索要赎金等。
3.3 挖矿木马趋势
3.1 AI时代驱动挖矿木马新浪潮
2023年,随着以ChatGPT为首的大模型人工智能技术的不断成熟和普及,利用大模型发起网络攻击使得网络安全变得更加严峻。特别是在挖矿木马领域,这种以非法利用计算资源进行加密货币挖矿的恶意软件,正在经历一场由AI技术驱动的变革。在这一背景下,部分主要依靠开源工具或脚本的攻击者开始崛起,他们利用人工智能为其编写和优化攻击脚本,使得挖矿木马攻击对网络环境构成严重的网络安全威胁。攻击者借助AI的强大能力,可以快速生成大量的变种恶意脚本,这些脚本往往作为挖矿木马的前导文件,用以准备环境、规避检测或执行实际的挖矿操作。AI的介入显著降低了编写高级恶意脚本的技术门槛,即使是技术能力相对较低的攻击者,也能够在网络空间制造出广泛的影响。
3.2 内核级工具使挖矿木马更加难以检测
在2023年的挖矿取证中,安天CERT发现挖矿木马攻击者正日益倾向于使用Rootkit内核级工具,如yayaya Miner、TeamTNT和“8220”等。这一趋势预示着未来这类工具的流行程度将进一步上升。Rootkit内核级工具之所以受到青睐,主要是因为它们能够在系统的最底层进行潜伏,从而提供更深层次的隐蔽性和控制力。这些工具能够直达操作系统的核心,加载恶意的内核模块,以实现避免被传统安全软件检测到的状态。它们可以有效地隐藏恶意进程和文件,由于这些工具对系统的高级控制,即便是系统重启,它们也能够持续在后台运行,确保持续的挖矿活动不受干扰。随着挖矿木马攻击者对利润的不断追求,结合Rootkit技术的挖矿木马将变得越来越复杂。它们不仅仅满足于利用受害者的计算资源,更可能进行更为深入的网络渗透,对网内其他终端造成潜在威胁。
3.3 SHC加密脚本促使挖矿木马更加隐蔽
2023年,安天CERT对监测到的挖矿木马进行了梳理,发现挖矿木马攻击者为了逃避安全检测,开始采用各种混淆和加密技术来隐藏其恶意代码。其中,使用Shell脚本编译器(SHC)对脚本进行加密的做法愈发流行,SHC成为了攻击者新的工具选择,以增强其挖矿脚本的隐蔽性。SHC是一种将Shell脚本加密成二进制可执行文件的工具,它可以有效地隐藏脚本的源代码,从而使得分析人员难以直接查看代码内容。这种加密不仅可以防止脚本源代码被分析,还可以绕过基于签名的检测机制,因为每次加密后生成的二进制文件都具有不同的签名。安天CERT在2023年先后分析了Hoze、yayaya Miner和Diicot等挖矿木马,均利用SHC加密的脚本发起初始攻击,这种攻击方式为挖矿木马的传播提供了便利,加剧了用户系统被感染的风险。
4.活跃挖矿木马介绍
4.1 “8220”
“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的组织,该组织早期使用Docker镜像传播挖矿木马,后来逐步利用多个漏洞进行攻击,如WebLogic漏洞、Redis未授权访问漏洞、Hadoop Yarn未授权访问漏洞和Apache Struts漏洞等。在2020年发现该组织开始使用SSH暴力破解进行横向攻击传播。自Apache Log4j 2远程代码执行漏洞曝光后,该组织利用该漏洞制作漏洞利用脚本进行传播,影响范围广。
4.1.1 组织概览
表4-1 “8220”挖矿组织介绍
|
组织名称 |
“8220” |
|
出现时间 |
2017年 |
|
针对平台 |
Windows、Linux |
|
传播方式 |
SSH暴力破解、Docker镜像和漏洞利用 |
|
利用的漏洞 |
Apache Log4j
2远程代码执行漏洞 Oracle WebLogic漏洞 Atlassian
Confluence漏洞 Redis未授权访问漏洞 Hadoop Yarn未授权访问漏洞 Apache
Struts漏洞 |
|
挖矿币种 |
门罗币(XMR) |
4.1.2 典型案例
● “8220”挖矿组织活动分析
2022年1月,安天CERT陆续捕获到多批次“8220”挖矿组织攻击样本,该挖矿组织自2017年出现,持续活跃,同时向Windows与Linux双平台传播恶意脚本,下载的载荷是门罗币挖矿程序以及其他僵尸网络程序、端口扫描暴力破解工具等[1]。
● “8220”挖矿组织最新挖矿活动分析
在2023年1月到2月期间,研究人员观察到一个针对Oracle Weblogic Server的攻击负载。该负载提取了ScrubCrypt,通过对应用程序进行混淆和加密,使其能够规避安全程序。此外,已经有了更新版本,并且卖家网页上承诺可以绕过Windows Defender并提供反调试和一些绕过功能。通过分析被注入受害者系统中的恶意软件,研究人员确定了攻击者为“8220”挖矿组织,并详细阐述了ScrubCrypt和此加密器在过去传递的其他恶意软件的细节[2]。
● 针对Oracle WebLogic漏洞的攻击活动分析
“8220”挖矿组织自2017年起一直活跃,并持续扫描云和容器环境的易受攻击应用程序。他们以部署加密货币挖矿程序为目的,攻击了Oracle WebLogic、Apache Log4j、Atlassian Confluence漏洞和配置错误的Docker容器。该组织曾使用Tsunami恶意软件、XMRig加密挖矿程序、masscan和spirit等工具。最近的攻击中,研究人员观察到他们利用了CVE-2017-3506漏洞对Oracle WebLogic进行攻击。这个漏洞影响了Oracle WebLogic的WLS安全组件,攻击者可以利用特定的XML文档通过远程的HTTP请求来执行任意命令,从而获取对敏感数据的未经授权访问或者入侵整个系统[3]。
4.2 Outlaw
Outlaw挖矿僵尸网络最早于2018年被发现,主要针对云服务器实施挖矿攻击,持续活跃。疑似来自罗马尼亚,最早由趋势科技将其命名为Outlaw,中文译文为“亡命徒”。该挖矿僵尸网络首次被发现时,攻击者使用Perl脚本语言的后门程序构建机器人,因此被命名为“Shellbot”。其主要传播途径是SSH暴力破解攻击目标系统并写入SSH公钥,以达到长期控制目标系统的目的,同时下载基于Perl脚本语言编写的后门和开源门罗币挖矿木马。
4.2.1 组织概览
表4-2 Outlaw挖矿僵尸网络介绍
|
组织名称 |
Outlaw |
|
组织介绍 |
一个通过漏洞利用和SSH暴力破解传播基于Perl语言编写的Shellbot而组建的僵尸网络,后期开始投放挖矿木马获利 |
|
首次披露时间 |
2018年11月1日 |
|
首次披露厂商 |
趋势科技 |
|
归属国家 |
疑似罗马尼亚 |
|
命名原因 |
源自罗马尼亚语haiduc的翻译,该组织主要使用的黑客工具Haiduc |
|
威胁类型 |
僵尸网络、挖矿木马 |
|
针对目标 |
Linux、IoT |
|
传播途径 |
Shellshock(CVE-2014-7169)漏洞、Drupalgeddon2漏洞(CVE-2018-7600)漏洞和SSH暴力破解,主要采用后者,漏洞利用只在初期使用过 |
|
组织组件 |
隐藏进程工具(XHide)、SSH暴力破解工具(Haiduc、ps、tsm)、Shellbot程序、挖矿木马(XMRig) |
|
版本迭代 |
该僵尸网络样本共有5个版本迭代,主要区别在于功能的新增,破解工具替换,破解工具功能的变化上 |
4.2.2 典型案例
● 典型挖矿家族系列分析一丨Outlaw(亡命徒)挖矿僵尸网络
Outlaw挖矿僵尸网络首次被发现于2018年11月,当时其背后的攻击者只是一个通过漏洞入侵IoT设备和Linux服务器并植入恶意程序组建僵尸网络的组织,主要从事DDoS攻击活动,在暗网中提供DDoS出租服务。在后续的发展过程中,受虚拟货币升值影响,也逐步开始在僵尸网络节点中植入挖矿木马,并利用僵尸网络对外进行渗透并扩张,获得更大规模的计算资源,旨在挖矿过程中获取更多的虚拟货币速配[4]。
● Outlaw黑客组织重新浮出水面
2022年2月,研究人员发现了一起涉及恶意脚本和恶意软件的服务器入侵事件。通过识别的攻击特征(SSH密钥注释、恶意工具和脚本名称、目录结构),可以确定这次攻击与2018年TrendMicro发现的Outlaw黑客组织的攻击非常相似。Outlaw黑客组织最初在2018年瞄准汽车和金融行业,近期再次出现的活动证明了该组织从未停止活动并且与过去相比有所进化。Outlaw在过去曾针对欧洲进行广泛攻击,新出现的活动可能也是如此。调查还发现了攻击者的持续性手段,以及攻击者曾经使用的恶意工具,这些工具显示了Outlaw活动模式中的某种演进[5]。
4.3 WatchDog
WatchDog挖矿组织自2019年1月被发现,得名于Linux守护进程watchdogd,主要利用暴露的Docker Engine API端点和Redis服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿程序由三部分组成,Go语言二进制集和一个bash或PowerShell脚本文件组成。这些二进制文件执行特定功能,其中之一是模拟Linux的watchdogd守护程序功能,以确保挖矿过程不会挂起、负载过载或意外终止。第二个Go二进制文件在提供了针对Linux或Windows系统的目标针对性操作功能后,下载了可配置的IP地址网段列表。最后,第三个Go二进制脚本将使用来自初始化的bash或PowerShell脚本的自定义配置,在Windows或Linux操作系统上启动一个挖矿操作。WatchDog使用Go二进制文件来执行不同操作系统上的操作,例如Windows和Linux,只要目标系统安装了Go语言平台。
4.3.1 组织概览
表4-3 WatchDog挖矿组织介绍
|
组织名称 |
WatchDog |
|
出现时间 |
2019年1月 |
|
针对平台 |
Windows、Linux |
|
传播方式 |
暴露的Docker
Engine API端点 Redis服务器 |
|
利用的漏洞 |
CVE-2014-3120 CVE-2015-1427 CVE-2018-1273 …… |
|
挖矿币种 |
门罗币(XMR) |
4.3.2 典型案例
● atchDog挖矿组织近期活动分析
2023年,安天CERT捕获了一批活跃的WatchDog挖矿组织样本,该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿组织自2019年1月开始被发现,至今仍然活跃。WatchDog挖矿组织主要利用暴露的Redis服务器发起攻击。在Windows端,首先会从放马服务器上下载名为“init.ps1”的PowerShell脚本,该脚本会分别下载挖矿程序进行挖矿、漏洞扫描程序进行扫描、守护进程对挖矿进程进行守护、脚本文件回传主机名及IP地址、exe文件添加管理员组等。在Linux端,会从放马服务器上下载名为“init.sh”的sh脚本,该脚本同样会下载Linux端的挖矿程序、漏洞扫描程序和守护进程,他们的功能与Windows端一样。另外,该脚本还具有以下功能:清空防火墙规则、清除日志、创建计划任务、结束安全产品、添加SSH公钥、结束竞品挖矿、横向移动和结束特定网络连接等[6]。
● WatchDog随着新的多阶段挖矿攻击而演变
WatchDog挖矿组织正在开展一项新的挖矿活动,采用先进的入侵、蠕虫病毒传播和规避安全软件的技术。该挖矿组织的目标是暴露的Docker Engine API端点和Redis服务器,并且可以快速从一台受感染的机器转向整个网络。WatchDog通过使用开放端口2375破坏配置错误的Docker Engine API端点来发起攻击,使它们能够在默认设置下访问守护进程[7]。
4.4 TeamTNT
TeamTNT挖矿组织最早于2019年被发现,主要针对Docker Remote API未授权访问漏洞、配置错误的Kubernetes集群和Redis服务暴力破解进行攻击。入侵成功后,窃取各类登录凭证并留下后门,主要利用目标系统资源进行挖矿并组建僵尸网络。经过近几年发展,该组织控制的僵尸网络规模庞大,所使用的攻击组件更新频繁,是目前针对Linux服务器进行挖矿的主要攻击组织之一。该组织疑似来自德国,其命名方式依据该组织最早使用teamtnt.red域名进行命名。
4.4.1 组织概览
表4-4 TeamTNT挖矿组织介绍
|
组织名称 |
TeamTNT |
|
首次披露时间 |
2019年10月 |
|
归属国家 |
德国 |
|
命名原因 |
最早使用teamtnt.red域名 |
|
威胁类型 |
挖矿木马、后门 |
|
针对目标 |
JupyterLab、Docker、Kubernetes和Redis |
|
传播途径 |
错误的配置和SSH凭证等 |
|
组织武器库 |
Tsunami、Rathole、Ezuri、Punk.py、libprocesshider、tmate、masscan、pnscan、ZGrab、Tiny Shell、Mimipy、BotB、Diamorphine、Docker
Escape Tool等 |
|
组织擅长技术 |
扫描局域网端口、添加防火墙规则、删除其他竞争对手进程、创建持久性计划任务、窃取服务凭证、收集机器信息、Rootkit隐藏进程、部署挖矿程序和横向移动等 |
|
推特账户 |
HildeGard@TeamTNT@HildeTNT |
|
GitHub账户 |
hilde@TeamTNT HildeTeamTNT |
|
托管网站 |
teamtnt.red |
4.4.2 典型案例
● 针对云原生环境的挖矿攻击活动
2023年7月,研究人员发现针对云原生环境的攻击活动,并发现了用于实施攻击的基础设施。该基础设施处于测试和部署的早期阶段,主要针对暴露的JupyterLab和DockerAPI进行攻击,以此传播Tsunami恶意软件,并进行进一步的云凭据劫持、资源劫持和蠕虫感染等攻击活动。对相关基础设施进行调查后,研究人员表示此次攻击活动可能与TeamTNT组织相关[8]。
● 针对多个云服务平台进行挖矿攻击活动
研究人员发现,此前针对亚马逊网络服务(AWS)证书进行窃密的攻击者,在2023年6月期间在其工具中扩展了针对Azure和Google云平台的模块。研究人员认为此次攻击活动与TeamTNT组织相关联。研究人员在此次攻击活动中发现了标志性的shell脚本,并发现了使用Golang编写的恶意ELF文件。其中值得注意的一点是,攻击者在其脚本中新增了针对Azure和Google云平台的功能,虽然该函数没有被调用,但这表明这些功能正在积极开发中,并可能会被用于此后的攻击活动中[9]。
4.5 H2Miner
H2Miner挖矿木马最早出现于2019年12月,爆发初期及此后一段时间该挖矿木马都是针对Linux平台,直到2020年11月后,开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外,该挖矿木马频繁利用其他常见Web组件漏洞,入侵相关服务器并植入挖矿程序。例如,2021年12月,攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。
4.5.1 组织概览
表4-5 H2Miner挖矿组织介绍
|
组织名称 |
H2Miner/Kinsing |
|
出现时间 |
2019年12月 |
|
针对平台 |
Windows、Linux |
|
传播方式 |
漏洞利用 |
|
利用的漏洞 |
Looney Tunables特权升级漏洞 Apache
ActiveMQ RCE漏洞(CVE-2023-46604) Apache Solr’s
DataImportHandler (CVE-2019-0193) Redis未授权RCE Confluence未授权RCE(CVE-2019-3396) WebLogic RCE漏洞(CVE-2020-14882/14883) Log4j漏洞(CVE-2021-44228) …… |
|
挖矿币种 |
门罗币(XMR) |
4.5.2 典型案例
● Kinsing组织利用Looney Tunables漏洞进行攻击活动
研究人员发现Kinsing组织正在尝试利用披露的名为Looney Tunables的Linux特权升级漏洞,以此入侵云环境。Kinsing组织会获取并执行额外的PHP漏洞利用,去混淆后发现是一个用于进一步攻击活动的JavaScript恶意代码。该JavaScript代码是一个Web Shell,允许攻击者获得服务器的后门访问权限,从而能够执行文件管理、命令执行,并收集有关运行在上面的机器的更多信息。与Kinsing组织以往部署恶意软件和挖矿木马的攻击模式不同,此次攻击的最终目标似乎是窃取与云服务提供商相关的凭据数据[10]。
● Kinsing组织利用CVE-2023-46604漏洞进行攻击活动
Kinsing组织正在利用Apache ActiveMQ RCE漏洞(CVE-2023-46604)进行攻击活动,该组织在易受攻击的系统上执行挖矿程序和恶意软件。在启动挖矿程序之前,Kinsing通过终止任何相关进程、crontabs和网络连接来检查机器上是否有其他的Monero挖矿程序。之后,它通过cronjob建立持久性,该cronjob用于获取其感染脚本的最新版本,并将rootkit添加到/etc/ld.so.preload中[11]。
4.6 Sysrv-hello
Sysrv-hello挖矿木马于2020年12月31日被首次披露,通过漏洞传播,无针对性目标,蠕虫样本更新频繁,是一个活跃在Windows和Linux的双平台挖矿蠕虫。根据其近两年的活动,可将其发展分为三个阶段:前期尝试传播、中期扩大传播和后期注重防御规避并维持传播力度。从三个阶段的样本分析看,其背后黑产组织并不重视维持对目标主机的访问权限,只在中期和后期的Redis漏洞利用中添加了在目标系统中植入SSH公钥的功能;其更加注重收益,尽可能扩展和维持传播能力,由于其后期矿池连接方式采用矿池代理,无法获取其全面的收益情况,但在2021年3月份期间平均每两天收益一个门罗币,按当时市价,即平均每天收益100美元。
4.6.1 组织概览
表4-6 Sysrv-hello挖矿组织介绍
|
组织名称 |
Sysrv-hello |
|
|
首次披露时间 |
2020年12月31日 |
|
|
命名原因 |
捕获的大量样本原始文件名以“sysrv“字符串为主,且样本内使用的函数或模块路径中均包含“hello”字符串。 |
|
|
威胁类型 |
挖矿、蠕虫 |
|
|
针对目标 |
无特殊针对目标、蠕虫传播目标随机化,针对包括云主机在内的目标 |
|
|
传播方式 |
漏洞利用、暴力破解、受害主机上存储的SSH私钥 |
|
|
传播组件 |
Laravel Debug mode RCE
(CVE-2021-3129) |
XXL-JOB executor 未授权访问漏洞 |
|
Jenkins
RCE漏洞(CVE-2018-1000861) |
Jupyter
未授权访问漏洞 |
|
|
Nexus Repository
Manager 3 RCE漏洞
(CVE-2019-7238) |
ThinkPHP5 RCE漏洞 |
|
|
WebLogic
RCE漏洞(CVE-2020-14882) |
Hadoop
YARN REST API未授权漏洞 |
|
|
Supervisord RCE漏洞(CVE-2017-11610) |
Wordpress-XMLRPC暴力破解 |
|
|
JBOOS反序列化漏洞(CVE-2017-12149) |
SSH弱口令暴力破解 |
|
|
PostgreSQL RCE漏洞(CVE-2019-9193) |
Tomcat弱口令暴力破解 |
|
|
Confluence未授权RCE漏洞(CVE-2019-3396) |
Redis弱口令暴力破解 |
|
|
Apache Struts2 RCE漏洞(CVE-2017-5638) |
Nexus弱口令暴力破解 |
|
|
PHPUnit
RCE漏洞(CVE-2017-9841) |
Jupyter弱口令暴力破解 |
|
|
Spring Cloud Gateway
Actuator RCE漏洞 (CVE-2022-22947 ) |
Jenkins弱口令暴力破解 |
|
|
GitLab
CE/EE RCE漏洞(CVE-2021-22205) |
MySQL弱口令暴力破解 |
|
4.6.2 典型案例
● 典型挖矿家族系列分析三 | Sysrv-Hello挖矿蠕虫
Sysrv-hello是一个利用多种漏洞传播的Windows和Linux双平台挖矿蠕虫,主要目的在于传播挖矿蠕虫,继而实现挖矿获利。该挖矿蠕虫于2020年12月31日被首次披露,由于捕获的大量样本原始文件名以“sysrv”字符串为主,且样本内使用的函数或模块路径中均包含“hello”字符串,研究人员将其命名为Sysrv-hello。Sysrv-hello挖矿蠕虫传播的文件主要有核心脚本、蠕虫母体及挖矿程序。其中核心脚本文件类型有Shell和PowerShell,主要承担下载并执行蠕虫,Linux脚本功能包括结束竞品、防御规避、持久化、横向传播等功能,PowerShell脚本更聚焦在防御规避和持久化上;蠕虫母体是由Golang语言编写,利用各种漏洞进行核心脚本的传播,进而实现自身的间接传播;挖矿程序负责劫持目标主机计算资源以此实施挖矿,该程序主要通过蠕虫母体释放并执行,但存在一段时间由核心脚本负责下载和执行[12]。
4.7 libgcc_a
2023年,安天CERT接到多起挖矿木马应急响应事件,经过排查发现,多起应急响应事件均与libgcc挖矿木马有关,该挖矿木马在Linux系统上主要以SSH暴力破解进行传播,在Windows系统上主要以RDP暴力破解进行传播。挖矿木马在感染受害主机后,还会进行横向传播进一步感染网内其他主机。利用多种防御手段进行反检测,如会采用开源rootkit工具r77-rootkit,这个工具具有ring 3隐藏功能,可以隐藏文件、目录、进程和CPU的使用情况、注册表项和值、服务、TCP和UDP连接、连接点、命名管道和计划任务等。另外攻击者使用开源门罗币挖矿程序XMRig进行挖矿,在Windows平台利用netpass工具读取本地明文RDP密码等。
4.7.1 组织概览
表4-7 Libgcc_a挖矿组织介绍
|
组织名称 |
libgcc_a/Warmup |
|
出现时间 |
2023年 |
|
针对平台 |
Windows、Linux |
|
传播方式 |
RDP暴力破解 SSH暴力破解 |
|
利用的漏洞 |
无 |
|
挖矿币种 |
门罗币(XMR) |
4.7.2 典型案例
● 揭露r77 Rootkit于XMRig挖矿程序联合部署
研究人员发现了一种恶意加密挖矿器,该挖矿器在亚洲多个国家部署。攻击者利用名为r77的开源用户态Rootkit。r77的主要目的是通过hooking重要Windows API来隐藏系统中其他软件的存在,这使其成为了进行隐秘攻击的理想工具。通过利用r77 Rootkit,恶意加密挖矿器的作者能够逃避检测并持续其攻击活动[13]。
4.8 Kthmimu
Kthmimu挖矿木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上,木马使用Shell脚本下载挖矿程序,并且该脚本还会清除具有竞争关系的其它挖矿程序、下载其它脚本和创建计划任务等功能。
4.8.1 组织概览
表4-8 Kthmimu挖矿组织介绍
|
组织名称 |
Kthmimu |
|
出现时间 |
2022年3月 |
|
针对平台 |
Windows、Linux |
|
传播方式 |
漏洞利用 |
|
利用的漏洞 |
Apache Log4j
2远程代码执行漏洞 |
|
挖矿币种 |
门罗币(XMR) |
4.8.2 典型案例
● 活跃的Kthmimu挖矿木马分析
自2022年3月以来,安天CERT陆续捕获到Kthmimu挖矿木马攻击样本,该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿[14]。
4.9 aminer
2023年6月,安天CERT通过捕风蜜罐系统捕获了一批活跃的挖矿木马样本,该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击。由于其初始脚本中下载挖矿文件的名称为“aminer.gz”,因此安天CERT将该挖矿木马命名为“aminer”。
4.9.1 挖矿木马概览
表4-9 aminer挖矿木马介绍
|
挖矿木马名称 |
aminer |
|
出现时间 |
2022年6月 |
|
活跃时间 |
2023年5月 |
|
针对平台 |
Linux |
|
传播方式 |
SSH和Redis弱口令暴力破解 |
|
主要技术特点 |
持久化;irc后门;隐藏行为等 |
|
挖矿币种 |
门罗币(XMR) |
4.9.2 典型案例
● aminer挖矿木马活动分析
aminer挖矿木马初始攻击脚本实际由一连串指令组成,其中包括写入指定DNS服务器地址、使用yum包管理器安装一系列工具和库、下载install.tgz文件解压后执行install脚本、下载ns2.jpg文件内存执行、下载aminer.gz文件解压后执行start脚本进行挖矿。install.tgz文件中包含很多与系统文件重名的恶意文件,如top等。这些文件均由install脚本调用,主要功能包括添加SSH公钥、替换系统文件如top、netstat、crontab等、执行irc客户端建立后门、过滤端口号为20和43的网络连接等。ns2.jpg实际为Perl语言编写的脚本文件,用于实现ShellBot功能。运行后会连接irc服务器,端口号为20。aminer.gz压缩包中包含针对两种操作系统架构的挖矿程序,start脚本执行后会根据当前受害者的操作系统架构决定使用哪个挖矿程序,创建一个服务进行持久化,最后执行挖矿程序进行挖矿[15]。
4.10 Diicot
Diicot挖矿组织(也称color1337、Mexals),以互联网下暴露22端口的设备作为攻击目标,使用SSH暴力破解工具实施入侵。成功后,根据设备CPU性能,利用托管网站下发不同载荷。当设备性能较弱时,从托管网站下载相应工具和脚本,实施扫描和暴力破解进行传播;当设备性能较强时,下载挖矿程序进行挖矿。
4.10.1 组织概览
表4-10 Diicot挖矿组织介绍
|
组织名称 |
Diicot |
|
出现时间 |
2022年10月 |
|
针对平台 |
Linux |
|
传播方式 |
SSH暴力破解 |
|
挖矿币种 |
门罗币(XMR) |
|
技术特点 |
主动扫描22端口;SHC加密;清除和创建定时任务;更改root账户密码;结束竞品程序;执行挖矿程序;SSH暴力破解; |
4.10.2 典型案例
● Diicot挖矿组织近期攻击活动分析
2023年6月,国家计算机网络应急技术处理协调中心(CNCERT/CC)和安天联合监测发现Diicot挖矿组织(也称color1337、Mexals)频繁发起攻击活动,境内受害服务器多达600余台。通过对攻击者使用的C2资源进行分析发现,攻击者于2022年10月13日至2023年5月27日期间不断更新攻击载荷,增加shc加密等手法以达成免杀的目的。跟踪监测发现2023年3月1日至今,境内受害服务器(以 IP 数计算)累计600余台[16]。