最近,F5 Networks威胁研究人员发明白一起操作2014年爆出的裂痕来流传集成XMR挖矿模块的恶意软件,从而对Elasticsearch系统举办进攻的比特币挖矿勾当。
1.此勾当利用了一个具有五年汗青的Elasticsearch系统(该系统可在Windows、Linux双平台陈设)裂痕(CVE-2014-3120)来挖掘XMR加密钱币。
2.在Linux系统中,它利用了一些防病毒软件(AV)无法检测的新恶意软件(下载器及木马)。
3.进攻者通过利用sinkhole技能将传染主机上其他挖矿措施的矿池地点指向127.0.0.1,从而制止资源竞争。
4.为了持久驻存,它将Linux rm呼吁替换为随机时间后从头安装恶意软件的代码,使得阐明人员难以找到主机反复传染的原因。
5.进攻者通过将SSH密钥添加进传染主机的方法来留下后门。
6.此勾当利用了多个节制呼吁及C&C处事器, 今朝的C&C处事器位于中国。
我们将此勾当定名为CryptoSink,在阐明中,我们发明白一种以前从未见过的进攻手法,进攻者利用这种要领来杀死传染主机上的竞争敌手,并通过修改Linux remove(rm)呼吁的方法更隐蔽驻留在处事器上。
初始传染途径该进攻起始于一些运行在Windows或Linux上的Elasticsearch发出的恶意HTTP请求。
Windows Payload在下载Windows payload时,挪用了系统自带的certutil呼吁从进攻者处事器下载恶意可执行文件,用于对SSL证书举办操纵。这种操纵在威胁勾当中很普遍。
图1:含有Windows payload的HTTP请求
下载的名为nvidia.exe 的文件是一个XMR挖矿措施。
图2:VirusTotal中,53款杀软监测出了nvidia.exe
Linux Payload与Windows对比,Linux payload涉及多个步调。首先,和其他威胁勾当一样,挪用Linux中现有的curl或wget呼吁下载并执行名为ctos.sh的bash剧本。
图3:含有Linux payload的HTTP请求
然后,bash剧本将查抄主机是否已经是僵尸网络的一部门,假如没有,则下载名为initdz2的二进制恶意软件。
图4:initdz2是一个ELF 64位可执行文件
定制化Linux Dropper由C++编写的initdz2为dropper文件,用来下载并陈设其他恶意软件。
图5:Linux系统下恶意文件执行流程
除了下载其他二进制文件外,该dropper还包括其他许多成果。幸运的是,通过进攻者在二进制文件中留下的特征,有效的低落了研究人员举办逆向阐明的难度。
图6:initdz2恶意软件的主要成果
Dropper 检测率不行思议的是,在VirusTotal中,该文件并未被标志为恶意文件。(截至今朝为止)
图7:防病毒引擎并未检测出该Dropper
在VirusTotal中检索域名w.3ei.xyz相关的威胁情报信息时,可以看到正是从这里下载了初始恶意剧本及dropper文件。除此之外,还看到了一个名为initdz的文件,看起来应该是先前版本的dropper文件。
图8:VirusTotal列出了w.3ei.xyz域名下的文件
再查抄一下VirusTotal,可以发明通过链接检索和直接上传文件,将发生差异的阐明功效。通过链接检索,一些防病毒软件会将其鉴定为恶意,而直接上传样本,则并未被标志(如上文图7所示)。