博猫娱乐Pacha和Rocke组织竞争云端资源进行加密货币挖矿_HUC惠仲娱乐

博猫娱乐

Pacha组织是Intezer研究人员2019年2月发现的一个加密货币挖矿威胁单元,该组织主要攻击Linux服务器,并且应用了多种高级绕过和驻留技术。

研究人员持续监控该组织攻击活动发现Pacha组织也在攻击云环境并尝试破坏和干扰其他加密货币挖矿组织,其中包括攻击云环境的Rocke组织。研究人员认为云环境未来将成为更多攻击者的目标。

技术分析

在监控Pacha组织时,研究人员发现于之前变种共享代码的新的Linux.GreedyAntd变种样本。

image.png

虽然与之前变种共享了接近30%的代码量,但Pacha组织新变种的检测率仍然很低——1/60。

image.png

主要的恶意软件基础设施与之前pacha组织攻击活动所使用的相同。Roche组织是Cisco Talos安全研究人员发现进行加密货币挖矿攻击的黑客组织,主要对Linux和云环境进行加密货币挖矿活动。下图是Linux.GreedyAntd搜索清除的挖矿机黑名单,黑名单中有多个文件名都是Roche组织植入使用的:

image.png

文件路径黑名单中含有其他的字符串是用来禁用云保护方案的,比如Alibaba Server Guard Agent。恶意软件植入的字符串滥用了Atlassian漏洞,Rocke组织也被爆出寻找类似的安全产品和滥用相同的漏洞。

与之前的攻击活动相比,Pacha组织的基础设施的特定是如果HTTP GET请求是特定User-Agent,那么植入只能从Pacha组织的服务器下载。下图说明了除非使用正确的User-Agent,否则无法下载文件:

另外,Pacha组织的组件更新好像含有轻量级用户模式rootkit—— Libprocesshider,其实这是GitHub上的一个开源项目,Rocke组织之前也使用过。

恶意软件会更新 /etc/ld.preload 来包含伪装为libconv.so的释放的库函数的路径,libconv.so是一个Unicode转化库。

共享的对象会导出定制的readdir和readdir64函数版本,这两个函数会尝试将进程名隐藏到恶意软件基础设施的主组件的/proc文件系统中。

和前面变种中看到的进程、文件路径黑名单一样,研究人员还发现有新变种使用IP黑名单技术。在进程和文件黑名单完成后,研究人员发现了下面的代码:

IP table黑名单中的IP都会被解码,然后通过ioctl添加到系统路由表中。

可以通过以下系统调用追踪来分析:

在检查被黑的系统的路由表时,可以看到:

每个解码的IP都加入到含有host scope的路由表。这表明如果任一IP地址被请求,都会被路由到要解析的主机而不是重定向到网关,引发路由进程失败。

下图可以看出使用ping工具的效果:

研究人员分析IP黑名单发现其中一些IP并不是恶意的,但Rocke组织在过去也使用过。比如,Rocke组织在过去的加密货币挖矿活动中就使用过黑名单中的域名systemten.org。下面是Linux.GreedyAntd黑名单中Rocke组织曾经使用过的域名:

总结

通过分析研究人员可以证明Pacha组织在攻击基于云的环境,并且在跟Rocke组织竞争。这些都可以通过Pacha组织使用的进程黑名单和新添加的IP黑名单列表来证明。

云端基础设施逐渐成为攻击者的目标,尤其是那些有漏洞的Linux服务器。但基于Linux的恶意软件检测率仍然很低,安全社区需要更多努力才能更加有效地应对这类威胁。

本文翻译自:https://www.intezer.com/blog-technical-analysis-cryptocurrency-mining-war-on-the-cloud/如若转载,请注明原文地址: http://www.hackdig.com/06/hack-55163.htm