http://securityaffairs.co/wordpress/6740…tnet-miner.html
ZitatAlles anzeigenDie Experten glauben, dass sich das Botnet in der Entwicklungsphase befindet. Die Betreiber haben kürzlich die Scanner-Funktionalität hinzugefügt, um auf anfällige JBoss-Server zu jagen (unter Ausnutzung von CVE-2017-12149).
Es wurde geschätzt, dass das PyCryptoMiner-Botnet Ende Dezember den Gegenwert von etwa 46.000 US-Dollar generiert hat.
Die Experten sind der Ansicht, dass das Botnet von PyCryptoMiner aufgrund seiner auf Skriptsprachen basierenden Natur eher ausweichend ist, da es schwer zu erkennen ist, da es von einer legitimen Binärdatei ausgeführt wird.
Die Malware verbreitet sich, indem versucht wird, die SSH-Anmeldedaten von Linux-Zielsystemen zu erraten. Sobald die SSH-Anmeldeinformationen erraten sind, implementiert der Bot ein einfaches base64-kodiertes Python-Skript, das für die Verbindung mit dem C & C-Server zum Herunterladen und Ausführen von zusätzlichem Python-Code entwickelt wurde.
Der Code der zweiten Stufe ist der Controller, der einen Cron-Job auf dem infizierten Computer registriert, um Persistenz zu erhalten.
Das ursprüngliche Skript überprüft, ob der Computer bereits infiziert ist, und sammelt außerdem Informationen zum infizierten Gerät, einschließlich:
Host- / DNS-Name
Betriebssystemname und seine Architektur
Anzahl der CPUs
CPU auslastungDer Bot sendet einen Bericht mit den gesammelten Informationen an das C & C, das wiederum die Aufgabendetails sendet. Die "Aufgabe" beinhaltet:
"Cmd" - beliebiger Befehl, der als separater Prozess ausgeführt wird
"Client_version" - Wenn die vom Server erhaltene Versionsnummer von der aktuellen Bot-Version abweicht, wird der Bot beendet und gewartet, bis der Cron das Spearhead-Skript erneut ausführt, um eine aktualisierte Version bereitzustellen (aktueller Wert ist "4")
"Task_hash" - Task-ID, damit das C & C Botnet-Ergebnisse synchronisieren kann, da jeder Befehl eine andere Ausführungszeit hat
"Conn_cycler" - Zeitintervall für die Abfrage des C & C, das vom Bot-Master gesteuert wird, um die Last auf seiner C & C-Infrastruktur auszugleichen, wenn das Botnetz wächst (Standardwert 15 Sekunden)Das PyCryptoMiner-Botnet verwendet zwei Pooladressen, die etwa 94 und 64 Monero mit einem Wert von etwa 60.000 $ anzeigen. Es ist jedoch nicht möglich, den Gesamtgewinn des Botnetzes zu ermitteln.
Die Analyse der verwendeten Pastebin-Seite ist eine alternative C & C-Analyse, die ergab, dass das Botnet seit August 2017 aktiv gewesen sein könnte und dass der Inhalt zum Zeitpunkt der Untersuchung 177.987 Mal angesehen worden war. Es ist nicht möglich, die Gesamtgröße des Botnetzes zu bestimmen, da jeder Bot die Seite regelmäßig besuchen kann, wenn der C & C-Server nicht erreichbar ist.
Der Botmaster verwendete den Namen "WHATHAPPEN", der mehr als 36.000 Domains und 235 E-Mail-Adressen zugeordnet ist. Der Registrant war seit 2012 an Betrugs-, Glücksspiel- und Erwachsenendiensten beteiligt.
Unterhalb der wichtigsten Erkenntnisse von F5 zum PyCryptoMiner-Botnet:
Basiert auf der Skriptsprache Python und ist daher schwer zu erkennen
Nutzt Pastebin.com (unter dem Benutzernamen "WHATHAPPEN"), um neue C & C-Zuweisungen zu erhalten, wenn der ursprüngliche Server nicht mehr erreichbar ist
Der Registrant ist mit mehr als 36.000 Domains verbunden, von denen einige seit 2012 für Betrügereien, Glücksspiele und Dienstleistungen für Erwachsene bekannt sind
Ist Bergbau Monero, eine sehr anonyme Krypto-Währung von Cyber-Kriminellen bevorzugt. Bis Ende Dezember 2017 hat dieses Botnet etwa 46.000 US-Dollar für den Bergbau von Monero gemacht
Auf CVE-2017-12149 wurde Mitte Dezember eine neue Scannerfunktionalität eingeführt, die auf anfällige JBoss-Server abzieltF5 veröffentlichte auch IoCs für das Botnet.
:shock:
Schönes woe allerseits