خلاصه: متخصصان امنیتی F5 یک باتنت استخراج Monero جدید بهنام PyCryptoMiner را کشف کردند که روی پروتکل SSH توزیع میشود، کارشناسان معتقدند که این باتنت در حال توسعه است و اپراتورهای آن اخیرا قابلیت اسکنر را به آن اضافه کردهاند که سرور های JBoss آسیبپذیر را جستجو میکند. (با بهرهبرداری از CVE-2017-12149 )
متخصصان امنیتی F5 یک باتنت استخراج Monero جدید بهنام PyCryptoMiner را کشف کردند که روی پروتکل SSH توزیع میشود.
این باتنت که مبتنی بر زبان اسکریپتی پایتون است زمانی که سرور کنترل و فرمان اصلی در دسترس نیست از Pastebin بهعنوان زیرساخت سرور کنترل و فرمان استفاده میکند.
کارشناسان معتقدند که این باتنت در حال توسعه است و اپراتورهای آن اخیرا قابلیت scanner را به آن اضافه کردهاند که سرور های JBoss آسیبپذیر را جستجو میکند. (با بهرهبرداری از CVE-2017-12149)
تخمینها نشان میدهد که باتنت PyCryptoMiner تا اواخر ماه دسامبر چیزی معادل ۴۶۰۰۰ دلار تولید کرده است. این بدافزار با تلاش برای حدس مجوز ورود SSH سیستمهای لینوکسی قربانی توزیع میشود. زمانی که مجوزهای SSH حدس زده شوند، این بات یک اسکریپت پایتون کدشده با base64 را مستقر میکند. این اسکریپت برای اتصال به سرور کنترل و فرمان برای دانلود و اجرای کدهای پایتون اضافه طراحی شده است. کد مرحلهی دوم یک کنترلر برای رسیدن به ثبات روی ماشین آلوده میباشد.
اسکریپت اصلی، ضمن بررسی آلوده بودن ماشین، اطلاعاتی را از روی دستگاه آلوده جمعآوری میکند، این اطلاعات شامل موارد زیر است:
- نام Host/DNS
- نام سیستمعامل و معماری آن
- تعداد CPUها
- میزان استفاده از پردازنده
PyCriptoMiner گزارشی را با اطلاعات جمعآوری شده به سرور کنترل و فرمان ارسال میکند و سرور نیز جزئیات کار و وظایف را ارسال میکند. وظایف شامل موارد زیر هستند:
Cmd: فرمان دلخواه برای اجرا بهعنوان یک پروسهی جدا
Vlient_version: اگر شماره نسخهی دریافتشده از سرور متفاوت از نسخهی اخیر بات باشد، به بات خاتمه داده و منتظر اجرای دوبارهی اسکریپت برای استقرار یک نسخهی بهروز میشود.
Task_hash: شناسهی task بهطوری که C&C می تواند نتایج باتنت را همگامسازی کند، زیرا هر دستور یک زمان اجرای متفاوت دارد.
تجزیه و تحلیل صفحهی Pastebin نشان میدهد که احتمالا این باتنت از آگوست ۲۰۱۷ فعال است و تعیین اندازهی کلی botnet امکانپذیر نیست.
