在連接到物聯(lián)網(wǎng)（IoT）的設(shè)備上進行加密貨幣挖掘的實用性在計算能力方面通常是有問題的。盡管如此，我們還是看到一些犯罪分子將聯(lián)網(wǎng)設(shè)備作為了目標，甚至隱秘地提供了加密貨幣惡意軟件。
我們的用于模擬Secure Shell（SSH）、Telnet和文件傳輸協(xié)議（FTP）服務的蜜罐傳感器最近檢測到了一個與IP地址192.158.228.46相關(guān)的采礦bot。而這個地址早已經(jīng)被發(fā)現(xiàn)用于搜索與SSH和物聯(lián)網(wǎng)相關(guān)的端口，包括22、2222和502。在這次特定的攻擊中，IP已經(jīng)登陸到了SSH服務端口22，且攻擊可以適用于所有服務器和運行SSH服務的聯(lián)網(wǎng)設(shè)備。
 
是什么引起了我們的注意？潛在的金融詐騙網(wǎng)站也在挖掘加密貨幣
這個Bot會搜索具有開放遠程桌面協(xié)議（RDP）端口的設(shè)備，該端口允許攻擊者利用易受攻擊的設(shè)備。一旦攻擊者識別出可以利用的設(shè)備，它就會嘗試運行wget命令，將腳本下載到一個目錄中，該目錄隨后將運行該腳本并安裝惡意軟件。
操作模式是這樣的：首先，bot使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/來托管惡意腳本mservice_2_5.sh。然后，該腳本將從hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz下載文件，并將輸出保存在“/tmp”文件夾中。（這里有一個很有意思的地方，這個域名似乎是由漢語拼音構(gòu)成的，翻譯過來可能就是“一路賺錢”）
以上這種技術(shù)被廣泛應用于針對基于linux的服務器。這個特殊的bot能夠在Linux上加載礦工程序，甚至在安裝程序腳本中添加了一個持久性機制，以便能夠向crontab（用于設(shè)置周期性被執(zhí)行命令的配置文件）添加一個服務。
在查看腳本試圖下載文件的網(wǎng)站時，我們發(fā)現(xiàn)它似乎是一個金融詐騙網(wǎng)站。從攻擊者的行為來看，第一個URL只能被用來作為一個“起跳點”。這意味著如果連接被阻止，攻擊者可以切換到另一個域繼續(xù)操作，而不會失去潛在的詐騙網(wǎng)站本身。
通過社交工程，用戶被誘騙安裝礦工，直接將利潤（在這個案例中以門羅幣和以太坊代幣的形式）轉(zhuǎn)移到相關(guān)網(wǎng)站。這個詐騙網(wǎng)站被制作成看上去是一個普通的網(wǎng)站，但當我們深入挖掘更多信息的時候，我們發(fā)現(xiàn)了一個博客（hxxps://www[.]zjian[.]blog/148[.]html）和一個視頻教程頁面（hxxps://www[.]bilibili[.]com/video/av19589235/），介紹了如何簡化挖掘工作。
 
活動是如何進行的？
一旦mservice_2_5.sh腳本運行，它首先會通過ping Baidu[.]com來檢查網(wǎng)絡(luò)連接：

圖1.腳本檢查連接
然后，確定它運行在什么操作系統(tǒng)（OS）上，特別是正在使用的是哪個Linux發(fā)行版本： 

圖2.確定操作系統(tǒng)平臺
在這樣做了之后，如果惡意軟件最初不是作為參數(shù)提供的，它會設(shè)置用戶ID為“2”。設(shè)備的名稱也會根據(jù)命令的輸出進行設(shè)置： 

圖3.設(shè)備名稱已設(shè)置
hugepage和memlock 也被設(shè)置，以提高設(shè)備的性能，并為加密貨幣挖掘提供更多的計算能力： 

圖4. Hugepage和Memlock設(shè)置
一旦設(shè)置完成，腳本就會下載這個礦工，偽裝成一個libhwloc4庫的下載。然后，將其解壓縮到 “/opt” 文件夾中，并使用以下命令運行：

圖5. 礦工被下載
有趣的是，惡意腳本還包含一個基本的持久性機制，即使在重新啟動之后，它也能保持礦工的運行： 

圖6.惡意腳本使用持久性機制

 圖7.在被攻擊的主機上創(chuàng)建的結(jié)果文件結(jié)構(gòu)
文件cmd.txt列出了用于運行帶有參數(shù)的“mservice”二進制文件的命令，然后安裝實際的礦工“YiluzhuanqianSer”。（請注意，礦工與潛在的詐騙網(wǎng)站域名相關(guān)）

圖8. 加密貨幣礦工被安裝
此外，在conf.json文件中有web shell/后門程序。同時，“Work”目錄包含兩個二進制文件，甚至包含一個cmd.txt文件，其中包含用于運行礦工的命令。它們的參數(shù)存儲在workers.json文件中：

圖9. conf.json中的Web shell /后門
圖10. “Work”目錄 

圖11. workers.json中的參數(shù)
如上所述，這種以聯(lián)網(wǎng)設(shè)備為目標的采礦作業(yè)并非首創(chuàng)。此外，利用bot瞄準物聯(lián)網(wǎng)設(shè)備的安全事件已經(jīng)多次成為頭條新聞，最引人注目的是臭名昭著的基于Linux的僵尸網(wǎng)絡(luò)Mirai。使用僵尸網(wǎng)絡(luò)也許是攻擊者為了自己的利益而濫用物聯(lián)網(wǎng)（在本案例中用于加密貨幣挖掘）的最普遍的方式之一。一個單一的受損設(shè)備可能不夠強大，但是當惡意軟件以“bot-enabled”的方式傳播時，一支采礦僵尸大軍在未來可能會被證明是有利可圖的。
 
妥協(xié)指標（IOCs）
文件名
mservice_2_5.sh
yilu.tgz
yilu_2_5.tgz
URLs
hxxp://p1v24z97c[.]bkt[.]clouddn[.]com
hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz
IP地址
114.114.114.114
192.158.22.46
目標端口
1993, 1992
相關(guān)哈希值（SHA256），檢測為COINMINER_TOOLXMR.O-ELF：
l  e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a
l  2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8
l  adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe
l  6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b