XMR（門羅幣）是目前比特幣等電子貨幣的一種，以其匿名性，支援CPU挖礦，以及不菲的價格等特點，得到了“黑產”的青睞。瀚思科技挖掘出黑產利用網際網路伺服器進行挖礦的通用模式，以及多個挖礦後臺更新伺服器。攻擊和挖礦方式顯示黑產組織在相互競爭、木馬更新等方面較去年又上了一個臺階。

門羅幣價格走勢圖

事件描述

近日，黑客利用SSH暴力破解伺服器後種植挖礦木馬，我們追蹤到了其多個後臺更新伺服器。

黑客攻擊伺服器與種植挖礦木馬過程包括三個步驟：

1. 攻擊者探測SSH服務 2. 攻擊者對SSH服務賬戶和密碼進行暴力破解 3. 一旦暴力破解成功，攻擊者遠端下載並執行挖礦程式

下圖是一個挖礦木馬後臺伺服器的截圖，從圖中可以看出116.196.120.20這臺伺服器從2018年1月26日14點開始，xm.sh(下載器程式)已經被下載過1277次。在對其監控的過程中，發現各個程式也在做頻繁的更新。

其中：

1. 程式Carbon是實際使用的挖礦程式。

2. 檔案xm.sh是在成功登入伺服器後執行的shell程式。

這段程式碼包括了三部分：

· 攻擊者首先殺掉其他的挖礦程式，來保證自身的收益。注：黑產中的競爭也是越來越激烈了。 · 遠端下載伺服器上對應的挖礦程式。 · 配置好礦池以及錢包地址，執行挖礦程式。

3.檔案xmm.sh是更新後的shell程式，與xm.sh相比，修改了礦池連結。目的是選擇更高算力的礦池。

4.程式1.ps1是windows平臺下類似xm.sh的指令碼程式，同樣實現類似的三個功能，首先kill其他的挖礦程式，然後遠端下載伺服器上對應的的挖礦程式，最後配置好礦池以及錢包地址，執行挖礦程式。

5.程式Server.exe是一個遠控木馬程式，在執行後連線dx.777craft.com:7777。

挖礦黑客之間的競爭愈發激烈

對比之前發現的同類型挖礦木馬，本次發現的挖礦木馬在程式碼上已經有了進一步的提升，之前發現的挖礦指令碼，主要殺掉具體程序名，目前主要根據礦池資訊殺掉挖礦程序，擴大了有效範圍。下圖是兩種型別挖礦木馬殺掉其他木馬的方式比較：

黑客的獲利估計

從目前的樣本獲取的錢包地址來看，之前的挖礦幣池已經向攻擊者的錢包提交了34個XMR（約合8500美元，以當天價格$250計算）。但由於被礦池判定為殭屍網路非法挖礦，該錢包剩餘的7個XMR已被凍結：

因此，攻擊者通過殺掉了自己之前的挖礦程式，再次註冊了新的錢包地址進行挖礦，目前新地址錢包的金額如下圖，可以看出15天前已經修改了新的挖礦地址。

從目前掌握的情報，綜合溯源到的10多臺伺服器訪問資訊、錢包地址，該攻擊者目前至少已經控制了3萬多臺主機，獲取了約300多個門羅幣，以目前的XMR（門羅幣）價格已近10萬美元。

挖礦相關IoC：

IP地址：

116.196.86.246:7800116.196.120.20:7800210.76.63.207:3721182.18.22.71:80

domain：

dx.777craft.com:7777

錢包地址：

46SDR76rJ2J6MtmP3ZZKi9cEA5RQCrYgag7La3CxEootQeAQULPE2CHJQ4MRZ5wZ1T73Kw6Kx4Lai2dFLAacjerbPzb5Ufg47X8knnXfd2WWr7q3DigPTTSiAtpqawVmhQuCGzTBmmULy75u7KyZMZPzn1r23oHn3QUJFcwBqp6rbaJAzigr9U5SscpVW8