黑客业务

Lucifer是针对Windows挖矿和DDOS研究人员于今年6月发表了一份关于混合恶意软件的报告，详细介绍了其攻击活动。最近，新证据表明，攻击始于2018年。

它最初是一个以Windows以系统为目标，具有自我传播能力的采矿软件已发展成为多平台、多架构的恶意软件，目标是Linux物联网设备。

从ThreatCloud根据收集到的数据，美国、爱尔兰、荷兰、土耳其和印度的25多个组织最近受到了打击。攻击制造业、法律、保险和银行业。

目前物联网设备的主要攻击媒介被称为CVE-2018-10561漏洞，针对未补丁的漏洞Dasan GPON路由器设备。

该恶意软件具有多种功能：多种类型DDOS攻击、完整的命令和控制操作下载和执行文件、远程命令执行和使用Xmrig挖掘软件挖掘门罗币，通过各种利用技术Windows自我传播在系统中。

介绍攻击活动

攻击源于被攻击者破坏的服务器。图1显示感染链是多平台的，针对Windows，Linux物联网设备。然后，感染Windows计算机继续将恶意软件传目标传播恶意软件。

更新的感染链

恶意软件符串序列显示在恶意软件中：

在最近的Windows，Linux，ARM和MIPS在示例中找到的字符串

对这些字符串的进一步研究使我们进行了两项活动，一项被趋势技术发现，称为BlackSquid，腾讯发现的另一个叫做Rudeminer / Spreadminer。

也可以跟踪金融记录(用于我们的案例)XMR钱包)这两个活动和Lucifer活动相关。

通过使用的XMR钱包跟踪了三个攻击活动

当我们探索图3中第一个钱包时Blacksquid在样本中，我们发现了两个几乎相同的样本样本2)。

两个样本的互斥模式相同：

第一个样本使用图3中的第一个钱包，第二个样本使用第二个钱包。

第二个钱包也用于其他类型Lucifer样本(样本3)使我们能够关联两个恶意软件。Blacksquid攻击系列与Spreadminer相关研究确实很复杂，因为腾讯(示例1)提供的示例没有使用XMR自定义钱包XMR挖矿池。

但是，我们可以找到几乎相同的样本(样本2)，其中第一个钱包是用来的。

Blacksquid在活动中使用XMR钱包提供了2018年底的样本，这表明攻击者甚至更早开始行动。

根据这些发现，我们创建了以下时间表：

时间线出现在这个活动中

恶意软件Linux另一个有趣的字符串可以在变体中找到：

在Linux恶意软件中使用的字符串

我们认为这个字符串是腾讯发布的名字“Rude”反应恶意软件。

这些发现表明，该活动背后的攻击者已经活跃了一年半多，恶意软件一直在开发和升级其代码库。

从公开数据来看，我们估计Lucifer攻击带给攻击者18.643456520496 XMR，1769美元左右。

由于旧的XMR钱包现在被封锁了，所以我不知道Blacksquid和Spreadminer攻击家庭赚了多少钱？DDOS功能的增加表明攻击者正在寻求扩大恶意软件的赚钱方式。

Windows自我传播功能是基于过时和公开的漏洞利用和暴力攻击。随着时间的推移，Windows自身功能只发生了微小的变化，这可能表明攻击者已经成功地使用了这些方法。

2020年2月上传的第一批新活动样本VirusTotal在接下来的几个月里，网站上传了一些样本，新样本仍在检测中。

到目前为止，第一个也是唯一的ARM5月10日上传示例VirusTotal。

VirusTotal中的ARM示例列表

目前尚未确定此样本是否是恶意的，ARM示例仅具有DDOS和功能Linux例子有不同的行为，这可能是由于物联网设备的限制。

C2服务器可以公开访问HFS服务器，能让我们目睹攻击的演变：

最新的二进制样本已上传到C2 HFS公共服务器

正如你所看到的，活动正在不断发展和发布新版本。“office.exe”，“sb360..exe”可执行文件是gh0st RAT变体表明攻击者想要扩展感染计算机中的恶意软件功能。

没有删除Linux，ARM，MIPS版本的调试符号使我们能够将所有平台的新版本的代码库与2009年以来的中文联系起来DDoS这个程序叫程序“Storm Attack Tool VIP 2009”，这个程序的下载版本可以在各种开源代码的中文网站上找到。

Storm攻击工具面板的图像

所有最新版本DDoS攻击来自软件，恶意软件的其他部分被严重修改为其他功能，如完整性C&C操作，门罗币挖矿，Windows系统中的自我传播和自我传播Linux以及物联网设备的端口。

在本文的其余部分，我们将深入研究Linux，ARM和MIPS示例。

Linux x86 / x64

Linux版本与Windows版本的区别在于它没有自我扩展功能。Linux调试信息未删除样本。

恶意软件成功使用后daemon命令将自己与终端分离，并在后台作为守护程序运行。

恶意软件将检查是否可以设置为绑定到端口。端口号取决于版本。最新版本使用端口20580。如果恶意软件无法设置套接字或绑定到套接字，则退出。绑定后，调用listen实际上，函数开始监控端口。

套接字的目的不是通信，而是强制执行以下行为：恶意软件一次只能运行一个过程，因为同一端口不能使用多个套接字。

恶意软件为以下信号设置了三个信号处理程序函数：

               
• SIGPIPE：写入被攻击管道；
               
• SIGTERM：请求终止程序；
               
• SIGINT：正常关闭请求程序；

恶意软件执行以下命令：

启动命令的第一部分crond服务，第二部分crond以下操作级别设置服务：

               
• 多用户模只登录控制台。
               
• 具有显示管理器和控制台登录名称的多用户模式(X11)。

chkconfig命令失败，因为它在-level 35前缺少另一个连字符。

这两个命令只适用于基于CentOS / RHEL的发行版。

恶意软件的下一个目标是增加文件描述符限制，UNIX定义功能之一是“一切都是文件”，套接字也是如此。

恶意软件启动时DDoS攻击时，它需要打开尽可能多的套接字，以将尽可能多的流量发送到目标。

这可以通过OS为了改变文件描述符的限制，恶意软件首先检查User ID。当程序以root当用户身份运行时，其用户ID零。如果用户使用恶意软件ID为0 (root)运行，则：

执行命令：

在文件/etc/sysctl.conf中添加“fs.file-max到6553560”行;

添加这些行file /etc/security/limits.conf中：

假如它有用户ID零操作，按以下顺序发出两个命令：

恶意软件首先以较小的限制运行这两个命令，然后以较大的限制运行。如果增加失败，较小的限制是备用选项。

恶意软件的持久性只发生在用户身上ID为0时：

               
• 如果file /etc/rc.local如果存在，恶意软件将写入或附加到文件中：
               
• MALWARE_PATHstart
               
• 恶意软件在file/etc/crontab写入以下行：
               
• */1****MALWARE_PATH

启动所有正常系统服务后，将执行/etc/rc.local脚本。添加到crontab这行代码会导致Linux这个恶意软件每分钟都在执行。

恶意软件配置其持久性后，将解密以下五个字符串：

               
• C&C地址：qf2020[.]top;
               
• Xmr采矿程序参数列表：-o stratum tcp://pool.supportxmr.com:3333 -u 4AfAd5hsdMWbuNyGbFJVZjcMLeKHvrXnT155DWh8qGkYRPbVGKBT9q1Z5gcFXqmwUuh2Kh6t2sTnHXPysYrGf2m9KqBwz9e -p X;
               
• Xmr采矿程序参数列表：-o stratum tcp://gulf.moneroocean.stream:10001 -u 4AfAd5hsdMWbuNyGbFJVZjcMLeKHvrXnT155DWh8qGkYRPbVGKBT9q1Z5gcFXqmwUuh2Kh6t2sTnHXPysYrGf2m9KqBwz9e -p X -a cn/r;
               
• Xmr采矿程序位置:/ tmp / spreadtop;
               
• Xmr采矿程序网站：122[.]112[.]179[.]189:50208/X64;

恶意软件初始化后，通过启动以下五个线程来启动主要逻辑：

               
• 挖掘线程:先下载挖掘程序，保存到/tmp/spread中。这使得它能够确保挖掘程序正在运行，并在必要时停止或重新启动挖掘过程。
               
• 过程阻止线程；

试程试图找到并阻止以下字符串之一的开程：

               
• Linux-;
               
• 25000;
               
• Linux2.6;
               
• Linux2.7;
               
• LinuxTF;
               
• 挖矿程序;
               
• 获取网络使用线程;
               
• 获取CPU使用线程;
               
• 将挖掘，CPU发送使用和网络使用报告C&C服务器;

报告消息示例

设置线程后，恶意软件开始无限循环，并保持和C&C恒定连接。

C&C命令模式：

Linux ARM / MIPS

ARM / MIPS版本是Linux它们只包含简单的版本DDoS功能。

初始化与Linux版本的初始化几乎是一样的，它们使用保护程序进行分离，并使用套接字绑定方法来确保只有一个正在运行的过程。

恶意软件只有SIGPIPE如果以信号处理程序为基础，则设置信号处理程序root如果身份运行，将文件描述符限制增加到20480，并将其路径写入/etc/rc.local实现持久性的文件。

如果不作为超级用户运行，将文件描述符限制增加到4096。然后，恶意软件解密C&C地址：tyz2020[.]top。初始化后，恶意软件启动主要逻辑：看门狗通信线程；

首先检查以下设备是否存在：/dev/watchdog或/dev/misc/watchdog.

若其中一种存在，则使用ioctl WDIOC_SETTIMEOUT将看门狗的超时间增加到15秒。然后线程开始无限循环，每10秒就会增加。ioctl WDIOC_KEEPALIVE发送给Watchdog。

门狗的功能是确保系统稳定。

在系统问题下，用户空间Watchdog停止写入Watchdog内核设备Watchdog重新启动设备。

恶意软件可以确保监控设备始终将数据写入监控程序设备。这可以防止设备重启。

如前所述，恶意软件在线程建立后，将开始无限循环并保持和维护C&C恒定连接。

C&C命令模式：

               
• 模式4启动目标DDOS攻击;
               
• 模型5停止当前DDOS攻击或重启后的攻击；

总结

正如我们在本文中所介绍的，该活动正在不断开发跨平台、增加利润和传播自己的新方法。即使攻击者使用已知的攻击来感染计算机和自我传播，并不总是更新所有系统。当组织的密码策略薄弱时，暴力破解可能会有效。

这些是攻击者在所有系统结构和平台上使用的功能：

我们相信攻击活动将继续发展，包括修改Windows添加到当前的自扩展方法和功能中Linux，ARM和MIPS版本中。

本文翻译自：https://research.checkpoint.com/2020/rudeminer-blacksquid-and-lucifer-walk-into-a-bar/