info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بات‌نت جدید PyCryptoMiner برای استخراج ارزمجازی

خلاصه: متخصصان امنیتی F5 یک بات‌نت استخراج Monero جدید به‌نام PyCryptoMiner را کشف کردند که روی پروتکل SSH توزیع می‌شود، کارشناسان معتقدند که این بات‌نت در حال توسعه است و اپراتورهای آن اخیرا قابلیت اسکنر را به آن اضافه کرده‌اند که سرور های JBoss آسیب‌پذیر را جستجو می‌کند. (با بهره‌برداری از CVE-2017-12149 )

 

متخصصان امنیتی F5 یک بات‌نت استخراج Monero جدید به‌نام PyCryptoMiner را کشف کردند که روی پروتکل SSH توزیع می‌شود.

این بات‌نت که مبتنی بر زبان اسکریپتی پایتون است زمانی که سرور کنترل و فرمان اصلی در دسترس نیست از Pastebin به‌عنوان زیرساخت سرور کنترل و فرمان استفاده می‌کند.

کارشناسان معتقدند که این بات‌نت در حال توسعه است و اپراتورهای آن اخیرا قابلیت scanner را به آن اضافه کرده‌اند که سرور های JBoss آسیب‌پذیر را جستجو می‌کند. (با بهره‌برداری از CVE-2017-12149)

تخمین‌ها نشان می‌دهد که بات‌نت PyCryptoMiner تا اواخر ماه دسامبر چیزی معادل ۴۶۰۰۰ دلار تولید کرده است. این بدافزار با تلاش برای حدس مجوز ورود SSH سیستم‌های لینوکسی قربانی توزیع می‌شود. زمانی که مجوزهای SSH حدس زده شوند، این بات یک اسکریپت پایتون کدشده با base64 را مستقر می‌کند. این اسکریپت برای اتصال به سرور کنترل و فرمان برای دانلود و اجرای کدهای پایتون اضافه طراحی شده است. کد مرحله‌ی دوم یک کنترلر برای رسیدن به ثبات روی ماشین آلوده می‌باشد.

اسکریپت اصلی، ضمن بررسی آلوده بودن ماشین، اطلاعاتی را از روی دستگاه آلوده جمع‌آوری می‌کند، این اطلاعات شامل موارد زیر است:

  • نام Host/DNS
  • نام سیستم‌عامل و معماری آن
  • تعداد CPUها
  • میزان استفاده از پردازنده

PyCriptoMiner گزارشی را با اطلاعات جمع‌آوری شده به سرور کنترل و فرمان ارسال می‌کند و سرور نیز جزئیات کار و وظایف را ارسال می‌کند. وظایف شامل موارد زیر هستند:

Cmd: فرمان دلخواه برای اجرا به‌عنوان یک پروسه‌ی جدا

Vlient_version: اگر شماره نسخه‌ی دریافت‌شده از سرور متفاوت از نسخه‌ی اخیر بات باشد، به بات خاتمه داده و منتظر اجرای دوباره‌ی اسکریپت برای استقرار یک نسخه‌ی به‌روز می‌شود.

Task_hash: شناسه‌ی task به‌طوری که C&C می تواند نتایج بات‌نت را همگام‌سازی کند، زیرا هر دستور یک زمان اجرای متفاوت دارد.

 

تجزیه و تحلیل صفحه‌ی Pastebin نشان می‌دهد که احتمالا این بات‌نت از آگوست ۲۰۱۷ فعال است و تعیین اندازه‌ی کلی botnet امکان‌پذیر نیست.