2018 年 4 月,dhpcd 挖矿团伙首次浮出水面,此后一直处于活跃状态。尽管被揭露,但该团伙仍然不断更新迭代加强潜伏能力。
【整体概览】
该团伙将文件命名与 Linux 上合法程序相似,例如负责 DHCP 服务器运行的守护进程为 dhcpd,攻击者将恶意文件命名为 dhpcd。这种命名方式在该团伙使用的样本文件中广泛存在,这也是其能够在长达四年的时间里持续运营的一个原因。并且,攻击者使用 Tor 的出口节点对攻击基础设施进行隐藏,这使得追踪溯源变得非常困难。攻击者主要通过挖掘门罗币来进行获利。
攻击活动
获利
攻击者使用多个钱包来进行获利,研究人员分析时发现了 13 个不同的门罗币钱包。每个钱包在收入 150 美元左右后,就会轮换到使用另一个钱包。由于每个钱包的余额都比较少,很有可能攻击者持有的钱包数量远比已知的更多。将收益分散到多个钱包,也可以不那么引人注目。
攻击链
初始攻击
挖矿程序
fr14[.]minexmr[.]com ca61[.]minexmr[.]com sg97[.]minexmr[.]com fr13[.]minexmr[.]com us40[.]minexmr[.]com
持久化
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCuhPmv3xdhU7JbMoc/ecBTDxiGqFNKbe564p4aNT6JbYWjNwZ5z6E4iQQDQ0bEp7uBtB0aut0apqDF/SL7pN5ybh2X44aCwDaSEB6bJuJi0yMkZwIvenmtCA1LMAr2XifvGS/Ulac7Qh5vFzfw562cWC+IOI+LyQZAcPgr+CXphJhm8QQ+O454ItXurQX6oPlA2rNfF36fnxYss1ZvUYC80wWTi9k2+/XR3IoQXZHKCFsJiwyKO2CY+j
/bin/dhpcd -o ca.minexmr.com:4444 -B >/dev/null 2>/dev/null exit 0
清除竞争对手
/etc/cron.hourly/gcc.sh
/etc/cron.hourly/cron.sh
/etc/cron.hourly/gcc4.sh/lib/libudev.so
/root/pty
/tmp/bash
/dev/shm/bash
/var/tmp/bash
/var/lock/bash
/var/run/bash
/bin/httpsd
/lib/udev/udev
/lib/udev/debug
/root/sysem
/root/systma
/etc/jourxlv
/tmp/sysem
/tmp/su
/tmp/ddgs.*
/root/pty10
/root/pty4
/root/xmr64
/usr/local/sbin/t
/usr/local/sbin/rsync
/etc/ceurnad
检测与缓解
SSH 服务非常普及,但如果使用专用的私钥和公钥并且拦截基于密码的登录,就可以阻拦针对 SSH 服务的爆破攻击。
PermitRootLogin no PasswordAuthentication no
结论
IOC
fr14[.]minexmr[.]com
ca61[.]minexmr[.]com
sg97[.]minexmr[.]com
fr13[.]minexmr[.]com
us40[.]minexmr[.]com
pool[.]supportxmr[.]com
eb808932714c9533962e129e61d84c29536497e62b2a7d89dce3376d882c6965
e971fa0c392a9f43c37dccfdd4f8e6bc109e162716d9b206170f7bb133634ffd
76005592ad7d8901c64a5cfbcdde589a960ba35c9672da6182d131cd67ae0c97
2cca764d24212f8fc58780b9135740929f38b45bcd5fc82c4a2ff47e90890d06
3ea8cc0977e5542053353bcf3e58de947dd727259369707a13a4d0c8f14b7486
参考来源:
https://www.akamai.com/blog/security-research/dhpcd-cryptominer-hid-four-years
精彩推荐
原文始发于微信公众号(FreeBuf):活跃四年的挖矿团伙:dhpcd