NO.63 | 2020.01.31
banner
title有備而來 友善列印>>
【情資案例調查報告】大量清除系統上其他惡意程式的Linux 挖礦程式_資通安全組 吳政諺副工程師

一、案例背景說明

  隨著加密貨幣的普及,駭客也不斷開發和強化各種挖掘加密貨幣的惡意程式。一旦伺服器或主機感染挖礦惡意軟體,受害者的設備將成為駭客的苦力,消耗大量的電力與效能替駭客增加收入。倘將這樣的模式套用於上百萬部電腦中,不難想像為何這種市場可吸引大量的網路罪犯投入其中。為了增加成功機率,駭客會使用多種惡意手法植入挖礦程式,例如:夾帶惡意程式下載連結的釣魚郵件、使用IoT設備漏洞植入惡意腳本等。而本次分析的樣本不僅針對單一系統植入惡意挖礦程式,還會大量刪除其他駭客的挖礦程式以避免同行競爭降低主機的效能[1]

二、案例研究說明

  透過研究人員分析,駭客第一步會使用連接埠(port)8161上傳一個crontab排程檔案到目標的網路攝影機或網站進行感染,如圖1所示。
 


圖1:上傳的封包內容
(資料來源:本中心分析整理)

  而這個crontab會讓系統下載並執行惡意腳本「1.jpg」,並啟用幾個主要功能。首先「1.jpg」會刪除先前系統上已安裝的惡意程式、挖礦程式以及搭配惡意程式所用到的相關服務。同時,也會建立新的目錄、檔案,並終止所有連上設備IP位址的執行程序,如圖2所示。
 

圖2:刪除所有惡意程式以及挖礦程式
(資料來源:Trend Micro分析整理)

  接著惡意腳本會從hxxp://yxarsh.shop/64下載挖礦程式。該程式屬於XMR虛擬加密貨幣挖礦程式,可支援CPU及AMD GPU和NVIDIA GPU挖礦,專門開採Cryptonight演算法的貨幣。

  然後從hxxp://yxarsh.shop/0下載另一個腳本,並儲存成/usr/local/bin/dns檔案,然後建立一個新的crontab排程,並在凌晨1點時呼叫這個腳本。第二個腳本則會定時下載hxxp://yxarsh.shop/1.jpg檔案、將它放入不同的crontab當中。

  最後將自己植入系統內,以便能在重新開機後繼續執行並防止遭到刪除,此外也將一些記錄檔內容清除,如圖3所示。
 

圖3:清除記錄檔內容
(資料來源:Trend Micro分析整理)

  在分析過程中發現該腳本與另一個惡意程式「KORKERDS」的功能極為相似,雖然兩者的目的皆為使用受害者資源進行挖礦,但這個新發現的腳本並不會移除系統上的資安產品,也不會再安裝Rootkit,反而會將KORKERDS惡意挖礦程式及其 Rootkit清除。

三、駭客攻擊流程與手法

  下圖(圖4)為本中心分析整理駭客攻擊流程與方式,攻擊步驟說明如下:
  1. 對LINUX伺服器與IP攝影機攻擊,透過port 8161上傳一個crontab檔
  2. 下載惡意腳本1.jpg
  3. 移除該主機上已安裝的挖礦程式
  4. 下載XMR門羅幣挖礦程式
  5. 清除系統紀錄

圖4:攻擊流程與方式
(資料來源:本中心分析整理)

四、Indicators of Compromise(IOCs)資訊

  本章節分享此惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的SHA256、IP、SHA1、URL、 MD5入侵指標,以利各通傳業者分析情資加強資安防護,詳見表1~3。
編號 關聯SHA256
1 2f7ff54b631dd0af3a3d44f9f916dbde5b30cdbd2ad2a5a049bc8f2d38ae2ab6
2 d9390bbbc6e399a388ac6ed601db4406eeb708f3893a40f88346ee002398955c
3 7c033a47e0a32a56d3de630cfed3b233fbb306c293d0232543947693142fc3e9
4 84ee6fd19ebdbc5cbd64f609ad57e02e0db91a71a56bde44d6edbee0918d92d5
 
表1:挖礦程式關聯SHA256
(資料來源:本中心分析整理)
 
編號 關聯IP
1 93.90.202.174
2 198.35.45.242
3 91.189.92.38
 
表2:挖礦程式關聯IP
(資料來源:本中心分析整理)
 
編號 關聯URL
1 drnfbu.xyz:26750
2 hxxp://yxarsh.shop
3 hxxp://yxarsh.shop/0
4 hxxp://yxarsh.shop/1.jpg
5 hxxp://yxarsh.shop/64
6 hxxp://yxarsh.shop/86
7 hxxps://pastebin.com/u/SYSTEAM
8 hxxps://raw.githubusercontent.com/MisterSpyx/Mister-Spy-Bot-V4/master/v4rdp/up.php
 
表3:挖礦程式關聯URL
(資料來源:本中心分析整理)
 
五、整體建議與總結

  近年來,駭客的黑色產業競爭十分強烈,網路犯罪集團為了提高獲利,在大多數的惡意程式中都會具備將其他惡意程式刪除的功能。當設備在執行挖礦程式時,主機與伺服器之效能除了會變得異常的遲鈍外,風扇聲音也會比平常大聲。為避免遭到駭客組織的攻擊,通傳業者可採取以下保護措施,避免系統遭受潛在威脅之攻擊,例如:
  1. 開啟系統工作管理員,檢查CPU和GPU的使用率是否維持在高負載的狀態,並找出消耗這兩個硬體的處理程序關閉該程式。
  2. 可安裝瀏覽器插件Minerblock及No coin阻擋網頁型挖礦程式,防止駭客盜取企業的電腦資源。
  3. 檢查crontab是否有異常任務被寫入,避免主機重啟後又再次下載或執行相同的挖礦程式。
  4. 評估入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。