“1337”挖矿组织活动分析

时间 :  2022年03月21日  来源:  6163银河.net163.amCERT

1.概述


2022年2月初,哈工大6163银河.net163.am联合CERT实验室在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,经关联分析研判,该组织最早在2021年底开始出现,本次监测到攻击者所用的托管域名为david1337.dev,该域名中的样本是由开源工具和挖矿程序构成,之后又相继关联到多个域名与IP均和“1337”字符串有关,故6163银河.net163.amCERT将该挖矿组织命名为“1337”组织。

“1337”组织通过扫描暴露在互联网之上的TCP 22端口确定攻击对象范围,利用SSH爆破工具对暴露该端口的信息基础设施实施暴力破解攻击。暴力破解成功后,攻击者会在托管网站下载相应工具和脚本,针对受害者内部网络的TCP 22端口实施扫描和爆破。在此基础上,对受害者内部网络的IP地址实施扫描窥探并将扫描结果写入指定文本,继而利用暴力破解工具对存活状态的IP地址对应端点设施实施爆破攻击,以此实现在受害者内部网络中的横向移动。下载挖矿程序和挖矿程序执行脚本,进行挖矿。经判定,该挖矿程序为开源挖矿程序Phoenix Miner,主要挖取以太币。

2.事件对应的ATT&CK映射图谱


攻击者针对目标系统投放Phoenix Miner挖矿木马进行挖矿,梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图2-1 事件对应的ATT&CK映射图谱

本次事件中,攻击者使用的技术点如下表所示:

表2-1 事件对应ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦察

主动扫描

扫描22端口

执行

利用命令和脚本解释器

使用脚本执行挖矿程序

防御规避

隐藏行为

隐藏挖矿程序进程

凭证访问

暴力破解

暴力破解SSH服务

发现

发现账户

检测系统活跃账户

发现文件和目录

遍历系统文件和目录

扫描网络服务

扫描22端口

发现系统信息

检测系统信息

影响

资源劫持

利用系统CPUGPU资源进行挖矿

3.攻击流程复现


3.1 攻击流程

“1337”组织通过互联网扫描22端口,搜索有哪些资产暴露在互联网上,之后使用SSH爆破工具对这些资产进行暴力破解。该组织攻陷受害主机后,会通过托管服务器下载相应工具和脚本,对内网进行22端口扫描,并对扫描到的资产使用爆破工具进行爆破,使用下载的脚本收集目标主机活跃账户信息等。最后在137.74.155.105的网站上下载名为“.zankyo.tar”的压缩文件,该文件解压后包含两个文件,一个是名为“script”的脚本文件,另一个是名为“meinkampfeth”的挖矿程序。经判定,script脚本的作用是执行meinkampfeth挖矿程序,meinkampfeth挖矿程序实质为开源以太币挖矿程序Phoenix Miner。

图3-1 攻击流程图

3.2 攻击流程复现

在对受感染服务器进行排查时发现,在var/tmp/.x路径下发现三个隐藏文件,经分析名为log20220209_160224.txt的文件是挖矿程序的日志,名为meinkampfeth的文件为挖矿程序,名为script的文件是执行挖矿程序的脚本。

图3-2 挖矿程序路径

根据挖矿日志发现该挖矿程序于2022年2月9日16点02分开始进行挖矿,结束时间为2022年2月14日15点02分,且该挖矿程序为开源挖矿程序Phoenix Miner。

图3-3 挖矿日志

script脚本的作用是执行/var/tmp/.x目录下的挖矿程序meinkampfeth,矿池地址为sg.stratu.ms:16232,钱包地址为0x7e81549e13Faeee0Bc9833dA540Ff604c9EaE4aA。

图3-4 script脚本

在查看历史命令时发现了攻击者具体的操作行为,使用wget命令下载了ps文件,并对该文件赋予可读可写可执行权限,之后执行该文件,经判定,该文件为端口扫描工具,共扫描三个网段,分别为10.10.0.0/16、10.242.0.0/16和192.168.0.0/16。

图3-5 端口扫描

扫描完成后攻击者开始下载brute、find.sh和passmaker文件并执行,执行后删除。经判定,brute文件为SSH暴力破解工具,find.sh为以获取服务器重要信息为目的的bash脚本,passmaker为字典生成脚本。

图3-6 下载攻击工具和脚本

最后使用wget命令下载zankyo.tar压缩文件,解压缩,并赋予可读可写可执行权限,继而执行script脚本文件,并以此运行meinkampfeth挖矿程序。

图3-7 下载挖矿程序并执行

4.防护建议


针对非法挖矿6163银河.net163.am建议企业采取如下防护措施:

1.安装终端防护:安装反病毒软件,针对不同平台建议安装6163银河.net163.am智甲终端防御系统Windows/Linux版本;

2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;

4.及时更新第三方应用补丁:建议及时更新第三方应用如WebLogic等应用程序补丁;

5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

6.主机加固:对系统进行渗透测试及安全加固;

7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。6163银河.net163.am探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

8.6163银河.net163.am服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;6163银河.net163.am7*24小时服务热线:400-840-9234。

5.样本分析


5.1 样本集合分析

5.1.1 ps—端口扫描工具

该文件是一款端口扫描工具,能够针对B类和C类IP地址进行任意端口探测。将扫描中存活的主机IP地址写入名为“bios.txt”中,端口扫描完成会提示“Portscan completed in %u seconds.(found %d ips)”。

图5-1 ps端口扫描工具

5.1.2 brute—暴力破解工具

该文件是一款暴力破解工具,真实文件名是haiduc,首次出现在Outlaw僵尸网络组织样本中,后期常被多个挖矿组织使用。

图5-2 haiduc工具

该工具使用生成好的密码字典pass爆破已知的IP地址,对应的参数为线程数、模式数、字典、端口和bash命令。

图5-3 haiduc工具参数

5.1.3 find.sh—系统探测脚本

该脚本用于探测系统可登录账户数量和对应账户名。

图5-4 探测系统可登录账户数量和对应账户名

5.2 样本关联分析

在对该组织托管网站分析时发现,不仅存在攻击流程中出现的样本,还有一些未用到的样本,如banner、kl.tar.gz、lopata.tar.gz和j.tar.gz。

banner是一款可以识别IP地址信息的工具,将识别结果写入banner.log,生成的banner.log文件中包含所有开放22端口的IP地址。此列表中已经将所有存活IP地址的范围缩小到仅包含具有SSH-2.0-OpenSSH协议信息的主机。

图5-5 banner工具参数

kl.tar.gz压缩包中包含以太币挖矿程序、矿池和钱包地址配置文件、启动脚本和伪装成数据库名的隐藏进程工具XHide。

钱包地址: 0x586f0235729e186cfc7e8c2c373b725cd2a34dbf

图5-6 kl.tar.gz压缩包内容

lopata.tar.gz压缩包中包含门罗币挖矿程序和启动脚本。其中矿池地址和钱包地址如下:

表5-1 lopata.tar.gz矿池地址和钱包地址

矿池地址

139.99.124.170:80

钱包地址

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeM

kLGaPbF5vWtANQo8mHMLcaEdNiy25Jz

j.tar.gz压缩包中包含门罗币挖矿程序和启动脚本。其中矿池地址和钱包地址如下:

表5-2 j.tar.gz矿池地址和钱包地址

矿池地址

37.187.95.110:80

钱包地址

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeM

kLGaPbF5vWtANQopjrAXPo91QqP1Wv7

5.3 相关样本梳理

表5-3 相关样本梳理

样本下载地址

详细说明

hxxp[:]//137.74.155.105/.zankyo.tar

以太币挖矿程序和启动脚本

hxxp[:]//david1337.dev/kl.tar.gz

以太币挖矿程序、启动脚本、配置文件及XHide工具

hxxp[:]//david1337.dev/banner

IP地址识别工具

hxxp[:]//david1337.dev/brute

SSH暴力破解工具

hxxp[:]//david1337.dev/ps

端口扫描工具

hxxp[:]//david1337.dev/lopata.tar.gz

门罗币挖矿程序和启动脚本

hxxp[:]//david1337.dev/j.tar.gz

门罗币挖矿程序和启动脚本

hxxp[:]//david1337.dev/find.sh

目标主机活跃账户信息提取工具

6.6 IoCs


IoCs

B1E8B84795C9C307877F47D4A81C372E

4452CEF303618C0E98F797DBD0FB00C7

1C09013A71FE594E9BF63C255DE69C91

378B933553E75ABD757D7DB7E1237FAA

946689BA1B22D457BE06D95731FCBCAC

45901E5B336FD0EB79C6DECB8E9A69CB

DC6E956855BCF3EDE2658B11C2E5FA95

ADA7F255DE13ADC37AD69D5C97E6B602

139.99.124.170:80

hxxp[:]//137.74.155.105/.zankyo.tar

hxxp[:]//david1337.dev/kl.tar.gz

hxxp[:]//david1337.dev/banner

hxxp[:]//david1337.dev/brute

hxxp[:]//david1337.dev/ps

hxxp[:]//david1337.dev/lopata.tar.gz

hxxp[:]//david1337.dev/j.tar.gz

hxxp[:]//david1337.dev/find.sh