|
|
|
|
移动端

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH 端口的 Linux 系统。

作者:佚名来源:开源中国|2018-01-09 10:25

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH 端口的 Linux 系统。

根据研究人员的描述,PyCryptoMiner 主要包括以下五个特性:

  • 基于 Python 脚本语言,这意味着很难被检测出来

  • 在原始命令和控制(C&C)服务器不可用时,会利用 Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的 C&C 服务器分配

  • 域名注册人与超过 3.6 万个域名相关联,其中一些域名自 2012 年以来一直以诈骗、赌博和成人服务而闻名

  • 被用于开采一种深受网络犯罪分子青睐且具备高度匿名性的加密货币——门罗币(Monero)。截至 2017 年 12 月下旬,PyCryptoMiner 已经开采了大约价值 4.6 万美元的门罗币

  • 利用 CVE-2017-12149 漏洞,在 12 月中旬推出了针对易受攻击的 JBoss 服务器的新扫描功能

与二进制恶意软件替代方案不同,基于 Python 脚本语言,使得 PyCryptoMiner 更容易被混淆、更具规避性。此外,它也是由一个合法的二进制文件执行的。

PyCryptoMiner 通过尝试猜测目标 Linux 设备的 SSH 登录凭证进行传播,如果成功,它将部署一个简单的 base64 编码的 Python 脚本,用于连接 C&C 服务器以下载和执行额外的 Python 代码。

这个 Python 脚本还会收集有关受感染设备的信息,包括主机/DNS名称,操作系统名称和架构、CPU 数量以及 CPU 使用率,它还会检查设备是否已经受到感染,以及受感染的设备是否用于门罗币挖掘或扫描。

研究人员通过 Pastebin[.]com 页面提供的信息确认,PyCryptoMiner 可能在 2017 年 8 月就已经启动。在调查中,该资源已被查看了 177987 次,且每天大约会增加 1000 次左右。

在查询这些 C&C 服务器的域名“zsw8.cc”时,发现注册人名称是“xinqian Rhys”

域名注册人与超过 3.6 万个域名相关联,其中一些域名自 2012 年以来一直以诈骗、赌博和成人服务而闻名。

PyCryptoMiner 使用了两个钱包地址,分别有 94 和 64 个门罗币,价值约为 4.6 万美元。

【编辑推荐】

  1. 让妹纸情何以堪:未来人和机器人将生出小宝宝
  2. 5个酷毙的Python工具
  3. 2018 年 Linux 八大发展预测,Ubuntu 将主宰物联网
  4. 1行Python代码快速实现FTP服务器
  5. 教你用 Python 来玩微信跳一跳
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

读 书 +更多

程序员面试宝典

本书取材于各大IT公司历年面试真题(笔试、口试、电话面试、英语面试,以及逻辑测试和智商测试)。详细分析了应聘程序员(含网络、测试等...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊