F5 Networks 的安全研究人員發現了一個新的 Linux 加密殭屍網絡,並將其命名為"PyCryptoMiner",它主要的攻擊目標是具有公開 SSH 埠的 Linux 系統。
根據研究人員的描述,PyCryptoMiner 主要包括以下五個特性:
基於 Python 腳本語言,這意味著很難被檢測出來
在原始命令和控制(C&C)伺服器不可用時,會利用 Pastebin[.]com(在用戶名「WHATHAPPEN」下)接收新的 C&C 伺服器分配
域名註冊人與超過 3.6 萬個域名相關聯,其中一些域名自 2012 年以來一直以詐騙、賭博和成人服務而聞名
被用於開採一種深受網絡犯罪分子青睞且具備高度匿名性的加密貨幣——門羅幣(Monero)。截至 2017 年 12 月下旬,PyCryptoMiner 已經開採了大約價值 4.6 萬美元的門羅幣
利用 CVE-2017-12149 漏洞,在 12 月中旬推出了針對易受攻擊的 JBoss 伺服器的新掃描功能
與二進位惡意軟體替代方案不同,基於 Python 腳本語言,使得 PyCryptoMiner 更容易被混淆、更具規避性。此外,它也是由一個合法的二進位文件執行的。
PyCryptoMiner 通過嘗試猜測目標 Linux 設備的 SSH 登錄憑證進行傳播,如果成功,它將部署一個簡單的 base64 編碼的 Python 腳本,用於連接 C&C 伺服器以下載和執行額外的 Python 代碼。
這個 Python 腳本還會收集有關受感染設備的信息,包括主機/DNS名稱,作業系統名稱和架構、CPU 數量以及 CPU 使用率,它還會檢查設備是否已經受到感染,以及受感染的設備是否用於門羅幣挖掘或掃描。
研究人員通過 Pastebin[.]com 頁面提供的信息確認,PyCryptoMiner 可能在 2017 年 8 月就已經啟動。在調查中,該資源已被查看了 177987 次,且每天大約會增加 1000 次左右。
在查詢這些 C&C 伺服器的域名「zsw8.cc」時,發現註冊人名稱是「xinqian Rhys」
域名註冊人與超過 3.6 萬個域名相關聯,其中一些域名自 2012 年以來一直以詐騙、賭博和成人服務而聞名。
PyCryptoMiner 使用了兩個錢包地址,分別有 94 和 64 個門羅幣,價值約為 4.6 萬美元。