DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万

09-17 DDOS防御

2017年10月,360网络安全研究院监控到一个大规模攻击OrientDB 数据库服务器,挖取门罗币(XMR,Monero CryptoCurrency)的僵尸网络,并将其命名为 DDG 挖矿僵尸网络 (DDG Mining Botnet,以下简称 DDG)。DDG 累积挖取的门罗币数目较大,到2018年2月,能够确认该僵尸网络累积挖取的已经超过 3,395枚门罗币,折合人民币超过580万元 。DDG一跃成为继MyKings之后,收益第二大的挖矿僵尸网络。

近期,360注意到该家族发布了新的版本 3011 ,在该更新版本部署的过程中,引发了端口 7379 及相关端口上的扫描流量异常。该版本中启用了新的钱包,其在 2 个矿池里累计收益已经超过 1,419 枚 XMR,折合人民币近180万元。迄今,长期运营的DDG从数据库服务器中攫取的挖矿收益已达近800万人民币。
DDG 3011版本简介
值得注意的是,DDG僵尸网络的新版本可能还处于测试阶段,或者只是一个过渡版本。
DDG 3011 版本的概要特征如下:
启用了新的 XMR 钱包地址
42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik ;
挖矿程序变更为 2t3ik ,但命名规则没有变化,仍然是钱包地址的末尾 5 位;
启用多个矿池,这应该被理解成为一种失效保护机制;
样本的编写语言由旧的 Go1.9.2 换成了 Go1.10,并在代码结构、第三方库和自身功能方面进行较大改动;
启用了云端配置文件,可以由云端配置文件指定要扫描的服务端口、矿机程序下载链接、本地样本更新数据等等;
相同的持久驻留机制:将 i.sh 脚本写入到 Crontab 中定期更新、运行。
7379 及相关端口上的扫描流量异常
近期,我们的 ScanMon 系统显示 Redis 服务相关端口的扫描流量骤增,如下:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图1
上图中,与该扫描相关的关联端口共计 7 个,分别是 :
Redis 相关的三个:6379, 6380, 7379
SSH 相关的三个:22, 2222, 22222
HTTP 相关的一个:8000
我们在本文后续的样本分析环节中可以发现,DDG 新版本 ddgs.3011 的扫描模式与上述 ScanMon 观察到的现象非常契合。这足以证明,DDG 最新版本的活动引起了本轮 7379 及相关端口上的扫描行为。
样本执行流程
我们捕获了这次事件相关的核心样本:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


65.225.157.157:8000/static/3011/ddgs.i686    md5=999fc24f53034b4c73866a0699be15fa 
图2

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图3
新旧样本最明显的相似之处,是通过把 i.sh 脚本植入到 Linux 系统肉鸡的 Crontab 中来实现持久驻留。新 i.sh 脚本内容如下:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


ddgs.i686 通过 SSH / Redis 服务暴破、未授权访问来入侵主机,暴破词典如下:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图6
v grep | grep Circle_MI | awk '{print $2}' | xargs kill 
ddgs.i686 还会在失陷主机本地的 /var/spool/cron/crontabs/root 或者 /var/spool/cron/crontabs 处写入定时任务脚本,从云端下载最新的 i.sh 脚本定时执行( %s 处为最新的 i.sh 下载链接),实现持久驻留:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图7
然后,ddgs.i686 会尝试在当前肉鸡的 ~/.ssh/authorized_keys 中注入以下 SSH Pub Key:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图8
ddgs.i686 样本中内置了一个 ip:port 的 List,其中 2 个主要的 165.225.157.157:8000 和 165.227.149.151:8000 ,其他算是备用,全部列表见文末 IoC 部分。

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图9

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图10

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万


图11
由于这串数据自定义了复杂的数据结构,没能成功完美解码,经过 msgPack 通用反序列化再大概还原后如下:
 

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//ddos1/14.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 700757访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X