摘要

加密貨幣挖掘惡意軟件正在日益成為威脅領(lǐng)域里一個(gè)所占比重越來(lái)越大的組成部分。這些惡意的開(kāi)采者能夠竊取受×××設(shè)備的CPU周期以挖掘加密貨幣，并為×××者帶來(lái)非法收益。

思科Talos團(tuán)隊(duì)在最新發(fā)表的一篇博文中分析了一個(gè)據(jù)稱(chēng)非常值得關(guān)注的×××團(tuán)伙——Rocke。接下來(lái)，我們將為大家介紹幾起由Rocke實(shí)施的×××活動(dòng)、以及在這些活動(dòng)中使用的惡意軟件和基礎(chǔ)設(shè)施，同時(shí)揭露更多有關(guān)該組織的細(xì)節(jié)。經(jīng)過(guò)幾個(gè)月的研究，Talos團(tuán)隊(duì)認(rèn)為Rocke是一個(gè)必須被追蹤的×××團(tuán)伙，因?yàn)樗麄內(nèi)栽诶^續(xù)為自己的惡意軟件添加新的功能，并積極探索新的感染媒介。

引言

在此之前，Talos團(tuán)隊(duì)已經(jīng)發(fā)表過(guò)很多有關(guān)加密貨幣挖掘惡意軟件的文章，其中包括企業(yè)應(yīng)該如何保護(hù)自己的系統(tǒng)免受此類(lèi)威脅的建議。Talos團(tuán)隊(duì)在這篇最新發(fā)表的博文中也表示，他們一直在積極研究加密貨幣挖掘惡意軟件的發(fā)展，包括監(jiān)測(cè)犯罪論壇以及部署蜜罐系統(tǒng)來(lái)捕獲此類(lèi)威脅。正是通過(guò)這些情報(bào)來(lái)源，他們才得以發(fā)現(xiàn)被他們命名為“Rocke”的×××團(tuán)伙。

Rocke在積極參與分發(fā)和執(zhí)行加密貨幣挖掘惡意軟件的過(guò)程中使用了不同的工具包，這涉及到Git存儲(chǔ)庫(kù)、Http File Server（HFS），以及各種各樣的有效載荷（payload），如shell腳本、JavaScript后門(mén)，以及ELF和PE挖礦程序。

早期活動(dòng)

該組織最初是在2018年4月引起了Talos團(tuán)隊(duì)的注意，它在當(dāng)時(shí)利用了西方國(guó)家和中國(guó)的Git存儲(chǔ)庫(kù)來(lái)向受Apache Struts漏洞影響的系統(tǒng)發(fā)送惡意軟件（其中一些被Talos團(tuán)隊(duì)部署的蜜罐系統(tǒng)捕獲到）。

有多個(gè)文件被下載到了Talos團(tuán)隊(duì)的Struts2蜜罐，它們來(lái)自中國(guó)代碼托管平臺(tái)gitee.com，是由一個(gè)名為“c-999”的用戶(hù)上傳的。幾乎在同一時(shí)間，Talos團(tuán)隊(duì)還觀察到了類(lèi)似的活動(dòng)，文件來(lái)自gitlab.com存儲(chǔ)庫(kù)，是由一個(gè)名為“c-18”的用戶(hù)上傳的。

值得注意的是，在Gitee和GitLab上的儲(chǔ)存庫(kù)完全相同。這兩個(gè)存儲(chǔ)庫(kù)都有一個(gè)名為“ss”的文件夾，其中包含有16個(gè)文件。這些文件各種各樣，包括ELF可執(zhí)行程序、shell腳本和文本文件，它們能夠執(zhí)行各種操作，包括實(shí)現(xiàn)持久性以及執(zhí)行非法的挖礦程序。

一旦×××者攻破了一個(gè)系統(tǒng)，他們就會(huì)通過(guò)配置一個(gè)定時(shí)任務(wù)（cron job）來(lái)在設(shè)備上實(shí)現(xiàn)持久性，并從“3389[.]space”下載并執(zhí)行一個(gè)名為“l(fā)ogo.jpg”的文件。這個(gè)文件實(shí)際上是一個(gè)shell腳本，它反過(guò)來(lái)會(huì)從×××者的Git存儲(chǔ)庫(kù)下載挖礦程序的可執(zhí)行文件，并將它們以文件名“java”進(jìn)行保存。至于下載的確切文件，這取決于受害者的系統(tǒng)架構(gòu)。類(lèi)似地，是使用“h32”還是“h64”來(lái)調(diào)用“java”，也取決于系統(tǒng)架構(gòu)。

雖然Talos團(tuán)隊(duì)最初觀察到這個(gè)×××團(tuán)伙利用的是Apache Struts漏洞，但他們也觀察到它利用了Oracle WebLogic服務(wù)器漏洞（CVE-2017-10271），以及CVE-2017-3066，這是Adobe ColdFusion平臺(tái)中一個(gè)Java反序列化漏洞。

近期活動(dòng)

在7月下旬，Talos團(tuán)隊(duì)意識(shí)到該組織參與了另一起類(lèi)似的活動(dòng)。通過(guò)對(duì)這起新活動(dòng)的調(diào)查，Talos團(tuán)隊(duì)發(fā)現(xiàn)了更多有關(guān)該組織的細(xì)節(jié)。

Talos團(tuán)隊(duì)從部署的Struts2蜜罐中觀察到了一個(gè)wget請(qǐng)求，該請(qǐng)求來(lái)自一個(gè)名為“0720.bin”的文件，位于118[.]24[.]150[.]172:10555。Talos團(tuán)隊(duì)訪問(wèn)了這個(gè)IP，發(fā)現(xiàn)它是一個(gè)開(kāi)放的HFS文件共享服務(wù)器。除了“0720.bin”之外，它還托管著另外10個(gè)文件：“3307.bin”、“a7”、“bashf”、“ashg”、“config.json”、“l(fā)owerv2.sh”、“pools.txt”、“r88.sh”、“rootv2.sh”和“TermsHost.exe”。于是，Talos團(tuán)隊(duì)開(kāi)始了對(duì)這些文件的研究。

HFS文件共享服務(wù)器的屏幕截圖

Talos團(tuán)隊(duì)之前曾在2018年5月觀察到過(guò)相同的IP掃描（針對(duì)TCP端口7001）。這很可能是對(duì)Oracle WebLogic服務(wù)器的掃描，因?yàn)樗J(rèn)監(jiān)聽(tīng)TCP端口7001。

“0720.bin”和“3307.bin”是相似的ELF文件，包括大小也一樣（84.19KB），連接到118[.]24[.]150[.]172。在被發(fā)現(xiàn)的時(shí)候，被VirusTotal標(biāo)記為無(wú)害文件。Morpheus Labs在其報(bào)告中也描述了一個(gè)類(lèi)似的文件，該文件連接到相同的IP地址，如果C2發(fā)出了一個(gè)經(jīng)過(guò)密碼驗(yàn)證的指令，那么它就可以在受害者的主機(jī)上打開(kāi)一個(gè)shell。在Talos團(tuán)隊(duì)捕獲的兩個(gè)樣本以及Morpheus Labs所描述的樣本中，硬編碼的密碼不僅相同，而且位于相同的偏移地址。

“a7”是一個(gè)shell腳本，可以殺死其他與加密貨幣挖掘惡意軟件相關(guān)的各種進(jìn)程（包括那么名稱(chēng)與流行的加密貨幣挖掘惡意軟件匹配的進(jìn)程，如“cranberry”、“yam”或“kworker”），以及普遍存在的挖礦程序（例如“minerd”和“cryptonight”）。另外，它可以檢測(cè)并卸載各種中文殺毒軟件，并從blog[.]sydwzl[.]cn下載并提取一個(gè)tar.gz文件，該文件也解析為118[.]24[.]150[.]172。

此外，“a7”還會(huì)從GitHub下載一個(gè)名為“l(fā)ibprocesshider”的文件，該文件使用ID預(yù)加載器隱藏了一個(gè)名為“x7”的文件。不僅如此，“a7”還會(huì)在known_hosts中查找IP地址并嘗試通過(guò)SSH登錄它們，然后從×××者的HFS文件共享服務(wù)器（118[.]24[.]150[.]172）下載自身副本（“a7”），然后執(zhí)行它。

“a7”源代碼的摘錄

“config.json”是XMRig的配置文件，XMRig是一個(gè)開(kāi)源的門(mén)羅幣挖礦程序。該文件將采礦池設(shè)置為xmr[.]pool[.]MinerGate[.]com:45700，錢(qián)包為rocke@live.cn（×××者的錢(qián)包）。這也就是為什么Talos團(tuán)隊(duì)將該組織命名為“Rocke”的原因（請(qǐng)注意，對(duì)于MinerGate而言，可以使用電子郵箱地址來(lái)代替門(mén)羅幣錢(qián)包號(hào)碼）。“pools.txt”似乎是XMR-stak的配置文件，XMR-stak是一個(gè)開(kāi)源的Stratum礦池挖礦程序，可以挖掘門(mén)羅幣、Aeon幣等。這個(gè)配置文件包含了與第一個(gè)配置文件（“config.json”）相同的采礦池和錢(qián)包信息。

“bashf”是XMR-stak的一個(gè)變種，而“bashg”是XMRig的一個(gè)變種。

“l(fā)owerv2.sh”和“rootv2.sh”是相似的shell腳本，它們?cè)噲D下載并執(zhí)行加密貨幣挖掘惡意軟件組件“bashf”和“bashg”。其中，“bashf”是XMR-stak的一個(gè)變種，而“bashg”是XMRig的一個(gè)變種，它們都托管在118[.]24[.]150[.]172上。如果shell腳本沒(méi)有從118[.]24[.]150[.]172下載一個(gè)挖礦程序，“l(fā)owerv2.sh”和“rootv2.sh”則會(huì)嘗試從3g2upl4pq6kufc4m[.]tk下載一個(gè)名為“XbashY”的文件。

“R88.sh”也是一個(gè)shell腳本，用于配置定時(shí)任務(wù)（cron job）并嘗試下載“l(fā)owerv2.sh”或“rootv2.sh”。

“TermsHost.exe”是一個(gè)PE32 門(mén)羅幣挖礦程序。從它使用的配置文件來(lái)看，它似乎是Monero Silent Miner。這個(gè)挖礦程序可以以14美元的價(jià)格在網(wǎng)上購(gòu)買(mǎi)到，其廣告將它宣傳為可以通過(guò)啟動(dòng)注冊(cè)表來(lái)實(shí)現(xiàn)持久性、只在空閑時(shí)進(jìn)行挖礦操作，并且能夠?qū)⑼诰蚬ぞ咦⑷氲健袄@過(guò)防火墻的Windows進(jìn)程”中。

“TermsHost.exe”能夠從sydwzl[.]cn上托管的命令和控制（C2）服務(wù)器獲取配置文件“xmr.txt”，其中包含與上述文件（“config.json”和“pools.txt”）相同的配置信息。接下來(lái)，它會(huì)將代碼注入到notepad.exe中，然后繼續(xù)與MinerGate礦池進(jìn)行通信。另外，“TermsHost.exe”還會(huì)在Windows開(kāi)始菜單文件夾中創(chuàng)建使用UPX打包的文件“dDNLQrsBUE.url”。有趣的是，這個(gè)文件似乎與流行的×××測(cè)試軟件Cobalt Strike有一些相似之處，后者允許×××者對(duì)受感染系統(tǒng)擁有更全面的控制。

從網(wǎng)絡(luò)安全公司Intezer在5月份的發(fā)布的報(bào)告來(lái)看，?這個(gè)payload似乎與網(wǎng)絡(luò)犯罪組織Iron使用的payload十分相似。Iron和Rocke的惡意軟件有著相似的行為，并且連接到相似的基礎(chǔ)設(shè)施。因此，Talos團(tuán)隊(duì)表示他們可以非常肯定這些payload共享了一些代碼庫(kù)。不過(guò)，目前仍然無(wú)法確定Rocke和Iron之間的確切關(guān)系。

×××團(tuán)伙的身份

得益于Rocke的MinerGate門(mén)羅幣錢(qián)包電子郵箱地址rocke@live.cn，Talos團(tuán)隊(duì)能夠發(fā)現(xiàn)更多有關(guān)這個(gè)×××團(tuán)伙的細(xì)節(jié)。Talos團(tuán)隊(duì)注意到，Rocke的C2已注冊(cè)到j(luò)xci@vip.qq.com。隨后，Talos團(tuán)隊(duì)從中國(guó)安全網(wǎng)站FreeBuf?泄露的用戶(hù)信息中發(fā)現(xiàn)一個(gè)名為“rocke”的用戶(hù)與電子郵箱地址jxci@vip.qq.com存在關(guān)聯(lián)，這表明他們很可能是同一伙人。

Talos團(tuán)隊(duì)還觀察到，Rocke一直試圖通過(guò)訪問(wèn)云存儲(chǔ)服務(wù)來(lái)獲取EasyLanguage中文編程手冊(cè)。

大多數(shù)注冊(cè)到Rocke的網(wǎng)站都顯示為江西省的注冊(cè)地址。其中一些網(wǎng)站屬于江西省的企業(yè)，例如belesu[.]com，它就屬于一家銷(xiāo)售嬰兒食品的公司。Talos團(tuán)隊(duì)表示，他們還有更多的證據(jù)可以用來(lái)證明Rocke來(lái)自江西，基于他們的GitHub頁(yè)面所記錄的信息。另外，jxci@vip.qq.com中的“jx”也可能指的是江西。

結(jié)論

根據(jù)Rocke在過(guò)去幾個(gè)月里所開(kāi)展的活動(dòng)，Talos團(tuán)隊(duì)預(yù)計(jì)該團(tuán)伙將繼續(xù)利用Git存儲(chǔ)庫(kù)下載并在受感染設(shè)備上執(zhí)行非法挖掘操作。值得注意的是，該團(tuán)伙目前仍在繼續(xù)擴(kuò)展他們的工具集，包括基于瀏覽器的挖礦程序、難以檢測(cè)的×××以及Cobalt Strike的惡意版本。除了IP掃描和漏洞利用之外，看起來(lái)Rocke似乎將要使用社會(huì)工程作為一種新的感染媒介，這一點(diǎn)可以從其存儲(chǔ)庫(kù)中發(fā)現(xiàn)的虛假Adobe Flash和Google Chrome更新得到證實(shí)。

盡管從目前來(lái)看，大多數(shù)加密貨幣的價(jià)值都存在很大的波動(dòng)，但非法加密貨幣挖掘活動(dòng)的趨勢(shì)并沒(méi)有因此顯現(xiàn)出減弱的跡象。通過(guò)Rocke所開(kāi)展的幾起活動(dòng)我們也可以看出，犯罪分子仍在設(shè)法利用各種可能的感染媒介來(lái)部署各種各樣的加密貨幣挖掘惡意軟件，以賺取盡可能多的非法收益。

轉(zhuǎn)載于:https://blog.51cto.com/13520190/2169623

總結(jié)

以上是生活随笔為你收集整理的思科：疑似中国×××团伙利用加密货币挖掘恶意软件非法获利的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。