在連接到物聯(lián)網(wǎng)（IoT）的設(shè)備上進(jìn)行加密貨幣挖掘的實(shí)用性在計(jì)算能力方面通常是有問(wèn)題的。盡管如此，我們還是看到一些犯罪分子將聯(lián)網(wǎng)設(shè)備作為了目標(biāo)，甚至隱秘地提供了加密貨幣惡意軟件。
我們的用于模擬Secure Shell（SSH）、Telnet和文件傳輸協(xié)議（FTP）服務(wù)的蜜罐傳感器最近檢測(cè)到了一個(gè)與IP地址192.158.228.46相關(guān)的采礦bot。而這個(gè)地址早已經(jīng)被發(fā)現(xiàn)用于搜索與SSH和物聯(lián)網(wǎng)相關(guān)的端口，包括22、2222和502。在這次特定的攻擊中，IP已經(jīng)登陸到了SSH服務(wù)端口22，且攻擊可以適用于所有服務(wù)器和運(yùn)行SSH服務(wù)的聯(lián)網(wǎng)設(shè)備。
 
是什么引起了我們的注意？潛在的金融詐騙網(wǎng)站也在挖掘加密貨幣
這個(gè)Bot會(huì)搜索具有開放遠(yuǎn)程桌面協(xié)議（RDP）端口的設(shè)備，該端口允許攻擊者利用易受攻擊的設(shè)備。一旦攻擊者識(shí)別出可以利用的設(shè)備，它就會(huì)嘗試運(yùn)行wget命令，將腳本下載到一個(gè)目錄中，該目錄隨后將運(yùn)行該腳本并安裝惡意軟件。
操作模式是這樣的：首先，bot使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/來(lái)托管惡意腳本mservice_2_5.sh。然后，該腳本將從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz下載文件，并將輸出保存在“/tmp”文件夾中。（這里有一個(gè)很有意思的地方，這個(gè)域名似乎是由漢語(yǔ)拼音構(gòu)成的，翻譯過(guò)來(lái)可能就是“一路賺錢”）
以上這種技術(shù)被廣泛應(yīng)用于針對(duì)基于linux的服務(wù)器。這個(gè)特殊的bot能夠在Linux上加載礦工程序，甚至在安裝程序腳本中添加了一個(gè)持久性機(jī)制，以便能夠向crontab（用于設(shè)置周期性被執(zhí)行命令的配置文件）添加一個(gè)服務(wù)。
在查看腳本試圖下載文件的網(wǎng)站時(shí)，我們發(fā)現(xiàn)它似乎是一個(gè)金融詐騙網(wǎng)站。從攻擊者的行為來(lái)看，第一個(gè)URL只能被用來(lái)作為一個(gè)“起跳點(diǎn)”。這意味著如果連接被阻止，攻擊者可以切換到另一個(gè)域繼續(xù)操作，而不會(huì)失去潛在的詐騙網(wǎng)站本身。
通過(guò)社交工程，用戶被誘騙安裝礦工，直接將利潤(rùn)（在這個(gè)案例中以門羅幣和以太坊代幣的形式）轉(zhuǎn)移到相關(guān)網(wǎng)站。這個(gè)詐騙網(wǎng)站被制作成看上去是一個(gè)普通的網(wǎng)站，但當(dāng)我們深入挖掘更多信息的時(shí)候，我們發(fā)現(xiàn)了一個(gè)博客（hxxps://www[.]zjian[.]blog/148[.]html）和一個(gè)視頻教程頁(yè)面（hxxps://www[.]bilibili[.]com/video/av19589235/），介紹了如何簡(jiǎn)化挖掘工作。
 
活動(dòng)是如何進(jìn)行的？
一旦mservice_2_5.sh腳本運(yùn)行，它首先會(huì)通過(guò)ping Baidu[.]com來(lái)檢查網(wǎng)絡(luò)連接：

圖1.腳本檢查連接
然后，確定它運(yùn)行在什么操作系統(tǒng)（OS）上，特別是正在使用的是哪個(gè)Linux發(fā)行版本： 

圖2.確定操作系統(tǒng)平臺(tái)
在這樣做了之后，如果惡意軟件最初不是作為參數(shù)提供的，它會(huì)設(shè)置用戶ID為“2”。設(shè)備的名稱也會(huì)根據(jù)命令的輸出進(jìn)行設(shè)置： 

圖3.設(shè)備名稱已設(shè)置
hugepage和memlock 也被設(shè)置，以提高設(shè)備的性能，并為加密貨幣挖掘提供更多的計(jì)算能力： 

圖4. Hugepage和Memlock設(shè)置
一旦設(shè)置完成，腳本就會(huì)下載這個(gè)礦工，偽裝成一個(gè)libhwloc4庫(kù)的下載。然后，將其解壓縮到 “/opt” 文件夾中，并使用以下命令運(yùn)行：

圖5. 礦工被下載
有趣的是，惡意腳本還包含一個(gè)基本的持久性機(jī)制，即使在重新啟動(dòng)之后，它也能保持礦工的運(yùn)行： 

圖6.惡意腳本使用持久性機(jī)制

 圖7.在被攻擊的主機(jī)上創(chuàng)建的結(jié)果文件結(jié)構(gòu)
文件cmd.txt列出了用于運(yùn)行帶有參數(shù)的“mservice”二進(jìn)制文件的命令，然后安裝實(shí)際的礦工“YiluzhuanqianSer”。（請(qǐng)注意，礦工與潛在的詐騙網(wǎng)站域名相關(guān)）

圖8. 加密貨幣礦工被安裝
此外，在conf.json文件中有web shell/后門程序。同時(shí)，“Work”目錄包含兩個(gè)二進(jìn)制文件，甚至包含一個(gè)cmd.txt文件，其中包含用于運(yùn)行礦工的命令。它們的參數(shù)存儲(chǔ)在workers.json文件中：

圖9. conf.json中的Web shell /后門
圖10. “Work”目錄 

圖11. workers.json中的參數(shù)
如上所述，這種以聯(lián)網(wǎng)設(shè)備為目標(biāo)的采礦作業(yè)并非首創(chuàng)。此外，利用bot瞄準(zhǔn)物聯(lián)網(wǎng)設(shè)備的安全事件已經(jīng)多次成為頭條新聞，最引人注目的是臭名昭著的基于Linux的僵尸網(wǎng)絡(luò)Mirai。使用僵尸網(wǎng)絡(luò)也許是攻擊者為了自己的利益而濫用物聯(lián)網(wǎng)（在本案例中用于加密貨幣挖掘）的最普遍的方式之一。一個(gè)單一的受損設(shè)備可能不夠強(qiáng)大，但是當(dāng)惡意軟件以“bot-enabled”的方式傳播時(shí)，一支采礦僵尸大軍在未來(lái)可能會(huì)被證明是有利可圖的。
 
妥協(xié)指標(biāo)（IOCs）
文件名
mservice_2_5.sh
yilu.tgz
yilu_2_5.tgz
URLs
hxxp://p1v24z97c[.]bkt[.]clouddn[.]com
hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz
IP地址
114.114.114.114
192.158.22.46
目標(biāo)端口
1993, 1992
相關(guān)哈希值（SHA256），檢測(cè)為COINMINER_TOOLXMR.O-ELF：
l  e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a
l  2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8
l  adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe
l  6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b