Linux安全運維丨OpenSSH安全淺析

文章作者：admin 更新時(shí)間：2018-04-09 點擊次數: 40647 所屬分類: 行業新聞

發現多款網吧視頻播放軟件存在(zài)挖礦行爲(wéi / wèi)，這(zhè)些軟件占用網吧計算機資源挖取數字貨币，不(bù)僅嚴重影響計算機的(de)正常工作，造成機器性能下降，耗電增加，而(ér)且長時(shí)間挖礦還會縮短硬件使用壽命，極大(dà)增加網吧運營成本。以(yǐ)目前PC的(de)性能與耗電量來(lái)算，用PC挖礦在(zài)很大(dà)程度是(shì)虧損的(de)！

表1展示了(le／liǎo)其中幾款存在(zài)挖礦行爲(wéi / wèi)的(de)視頻播放軟件的(de)文件信息。

表1

這(zhè)些視頻播放軟件都包含一個(gè)名爲(wéi / wèi)flashapp.dll的(de)組件，該組件會從服務器下拉挖礦程序并執行。

圖1

如圖1所示，flashapp.dll通過随機算法選擇從哪個(gè)服務器上(shàng)下拉挖礦程序，服務器ip爲(wéi / wèi)61.176.222.157和(hé / huò)218.24.35.86。我們追蹤發現，在(zài)2017年7月就(jiù)已經存在(zài)下拉挖礦程序的(de)行爲(wéi / wèi)。表2展示了(le／liǎo)這(zhè)幾個(gè)文件最新的(de)md5信息。

表2

文件地(dì / de)址	MD5
http://61.176.222.157:30080/web/sc2.exe	5de6e84377a665d14ec2a5aa6872ae0b
http://61.176.222.157:30080/web/xt.exe	e452ba1e847503e2c5dd9a248f2ee21f
http://61.176.222.157:30080/file.exe	文件已撤下
http://61.176.222.157:30080/xxmr.exe	a57e244c9c17edcfcbaaf6d28cb4b62b
http://218.24.35.86:30080/web/sc2.exe	5de6e84377a665d14ec2a5aa6872ae0b
http://218.24.35.86:30080/web/xt.exe	文件已撤下
http://218.24.35.86:30080/file.exe	文件已撤下
http://218.24.35.86:30080/xxmr.exe	15560eafda92ce0d1681b7926403d08e

挖礦程序從雲端獲取配置信息，存放配置信息的(de)地(dì / de)址包括hxxp://xiaov.host94.cq6969.com/res/minsc.js, hxxp://tlwg3.host92.cq6969.com/res/minsc.js和(hé / huò)hxxp://tlwg.host102.cq6969.com/res/minsc.js。配置内容包括門羅币（XMR）礦池地(dì / de)址、超級現金（SHR）礦池地(dì / de)址、比特币鑽石（BCD）礦池地(dì / de)址、雲儲币（SIA）礦池地(dì / de)址、備用礦池地(dì / de)址、需要(yào / yāo)檢查的(de)進程、需要(yào / yāo)結束的(de)進程、顯卡占用比、文件哈希。圖2展示了(le／liǎo)獲取配置内容的(de)代碼片段。表3展示雲端當前的(de)配置内容。

圖2

表3

配置字段	配置内容
門羅币（XMR）礦池地(dì / de)址	mine.ppxxmr.com:3333pool.minexmr.com:5555get.bi-chi.com:3333（已撤下）
超級現金（SHR）礦池地(dì / de)址	hcash-shanghai.globalpool.cc:3008hcash-shanghai.globalpool.cc:3032111.231.38.60:3008
比特币鑽石（BCD）礦池地(dì / de)址	bcd.uupool.cn:6001
雲儲币（SIA）礦池地(dì / de)址	siamining.com:3333us-west.siamining.com:3333siamining.com:3333
備用礦池地(dì / de)址	111.231.102.142:3008111.231.38.60:3008hcash-shanghai.globalpool.cc:3008
檢查進程關鍵字	tlbbstart.exe,Launch.bin,OverWatch.exe,ComputerZ,winsockexpe,ProcessM,PChunter,FileRiver,360sd.exe,sniffer,顯卡病毒,查挖礦, GPU.exe,挖礦檢,檢測工具,顯卡用率,GPU使,GPU占用,_wowslauncher,_WorldOfWarships,_wotlauncher,_WorldOfTanks_exe,系統雷達,WSExplorer,火絨劍,安全分析
結束進程關鍵字	winini.exe,svcvhost.exe,ServicesHost.exe,cssrs.exe,lssas.exe（結束進程用于(yú)進行自更新）
顯卡占用比	7

在(zài)持續駐留方面，部分挖礦程序會以(yǐ)服務的(de)形式存在(zài)，服務名稱與正常系統服務較爲(wéi / wèi)相近。圖3展示了(le／liǎo)挖礦程序使用的(de)服務名。

圖3

也(yě)有部分挖礦程序通過一個(gè)名爲(wéi / wèi)vm.bat的(de)批處理腳本和(hé / huò)一個(gè)名爲(wéi / wèi)XMR.exe的(de)可執行程序實現持續駐留，這(zhè)兩個(gè)文件被釋放到(dào)一些網吧管理軟件的(de)路徑下，并以(yǐ)“删除頑固桌面廣告圖标”，“Steam防卡更新”，“文網衛士”等文件路徑名隐蔽自身。當系統啓動時(shí)，這(zhè)兩個(gè)文件會以(yǐ)網吧管理軟件的(de)開機自檢腳本（程序）的(de)形式運行。表3展示了(le／liǎo)部分挖礦機實現持續駐留使用的(de)路徑。

表4

挖礦機實現持續駐留使用的(de)路徑
C:\PROGRAM FILES (X86)\E-YOO\appdata\BootStartBat\Steam防卡更新\xmr.exe
C:\PROGRAM FILES (X86)\E-YOO\appdata\BootStartBat\删除頑固桌面廣告圖标\XMR.exe
C:\Program Files (x86)\E-yoo\appdata\BootStartBat\文網衛士\XMR.exe
C:\Windows\DBNT\維護通道(dào)\AutoExe\web1.exe
X:\工具\DBNT\維護通道(dào)\TL_AutoExe\Liveup.exe
C:\Windows\DBNT客戶端\維護通道(dào)\AutoExe\conver.exe
D:\tools\DBNT客戶端\維護通道(dào)\TL_AutoExe\svchost.exe

挖礦行爲(wéi / wèi)始于(yú)2017年7月，現在(zài)仍然處于(yú)活躍狀态，圖4展示了(le／liǎo)由這(zhè)類網吧視頻播放軟件下拉的(de)挖礦程序2017年7月至2017年12月的(de)傳播量變化情況。

圖4

在(zài)這(zhè)其中，MD5爲(wéi / wèi)a634842f57fce38a12b07e9813973bd8的(de)挖礦程序傳播量最大(dà)，該挖礦程序從2017年8月底開始傳播，日傳播量最大(dà)超過千次。圖5展示了(le／liǎo)該挖礦程序2017年9月1日到(dào)2017年12月31日的(de)傳播量變化情況。

圖5

挖礦程序使用多個(gè)不(bù)同的(de)虛拟貨币錢包地(dì / de)址。以(yǐ)門羅币爲(wéi / wèi)例，黑客就(jiù)使用了(le／liǎo)數十個(gè)不(bù)同的(de)門羅币錢包地(dì / de)址，這(zhè)些錢包中的(de)門羅币數量爲(wéi / wèi)1個(gè)到(dào)200個(gè)不(bù)等，總價值超過百萬人(rén)民币。圖6展示其中一個(gè)門羅币錢包概況。

圖6

下圖是(shì)一台中配機器挖門羅币的(de)收益情況（引用自什麽值得挖），可以(yǐ)看出(chū)挖礦收益連電費支出(chū)都收不(bù)回來(lái)。網吧成了(le／liǎo)血汗礦工，而(ér)好處都被礦主賺到(dào)了(le／liǎo)。

上(shàng)一篇