Главная страница » IOC
0
2 года
IOC

KONO DIO DA CoinMiner IOCs

security

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил установку XMRig CoinMiner на плохо управляемые SSH-серверы Linux. Атаки происходят по определенной схеме с 2022 года: они связаны с использованием вредоносного ПО, разработанного с помощью Shell Script Compiler (SHC) при установке XMRig, а также с созданием бэкдорной учетной записи SSH.

Если рассматривать случаи атак на плохо управляемые Linux SSH-серверы, то большинство из них связано с установкой DDoS Bot или CoinMiner. DDoS Bot уже рассматривался здесь, в блоге ASEC, в случаях атак, когда были установлены ShellBot  и ChinaZ DDoS Bot  соответственно. Установка XMRig CoinMiner была рассмотрена вместе с вредоносной программой SHC.

KONO DIO DA CoinMiner

Плохо управляемые службы являются одним из основных примеров векторов атак, используемых для поражения серверных сред, таких как серверы Linux. Служба Secure Shell (SSH) установлена в большинстве серверных сред Linux, легко может быть использована для атак и подвержена плохому управлению. SSH позволяет администраторам удаленно входить в систему и управлять ею, но для этого они должны войти в учетную запись пользователя, зарегистрированную в системе.

Если в системе Linux используются простые учетные данные (ID/PW), угрожающий субъект может войти в систему с помощью грубой силы или атаки по словарю, что позволит ему выполнить вредоносные команды. Когда атакуют плохо управляемые SSH-серверы Linux, основной метод атаки заключается в поиске внешних SSH-серверов с помощью сканирования портов и использовании известных учетных данных для проведения атаки по словарю и входа в систему. После этого загружается вредоносное ПО.

После успешного входа в систему агент угрозы использовал приведенные ниже команды для загрузки и выполнения вредоносного ПО. "uname -a" и "nproc" - это команды, которые выводят информацию о системе. Предполагается, что они используются для того, чтобы агент угрозы мог проверить, на каких системах установлен CoinMiner. Существуют также команды, которые удаляют историю этих команд после выполнения вредоносной программы.

Загруженный файл "am" является вредоносным ПО, разработанным с помощью SHC, и функционирует как загрузчик. Тот факт, что она была разработана с помощью SHC, означает, что оригинальная вредоносная программа на самом деле является сценарием Bash, который был преобразован в формат ELF. Подробности, касающиеся SHC, были описаны ранее в блоге ниже.

"am" - это простой загрузчик, который загружает и выполняет "nw", а "nw" - это загрузчик, который в конечном итоге загружает и выполняет дополнительные вредоносные программы. Bash-скрипт "nw" принудительно завершает и удаляет CoinMiner, который он использовал в прошлом, вместе с другими вредоносными программами, прежде чем загрузить и выполнить сжатый файл с вредоносными программами XMRig и Bash-скрипт.

Сжатый файл содержит XMRig "dbus-daemon -system -address=systemd_ -nofork -nopidfile -systemd-activation -syslog-only", файл конфигурации "config.json" и 3 вредоносных Bash-скрипта.

"nw" выполняет Bash-скрипт "start" внутри сжатого файла, а "start" отвечает за функцию, выполняющую Bash-скрипт "admin". "admin" отвечает за регистрацию задачи cron, которая выполняет Bash-скрипт "root.sh" и "root.sh" каждую минуту.

"root.sh" выполняет XMRig "dbus-daemon -system -address=systemd_ -nofork -nopidfile -systemd-activation -syslog-only", который существует по тому же пути, перед тем как прочитать и использовать конфигурационную информацию, необходимую для добычи, из "config.json", который также существует по тому же пути. XMRig выполняется под замаскированным именем обычного процесса, "dbus-daemon". Он не только использует имя своего процесса, но и имитирует аргументы, используемые при выполнении, что затрудняет для обычных пользователей заметить, что в данный момент запущен CoinMiner.

Если проанализировать прошлые случаи, становится очевидным, что вредоносное ПО, используемое в последних атаках, имеет меньше функций, чем раньше. Первоначально установленный файл невозможно подтвердить, но "hoze" - это сценарий Bash, выполняющий те же функции, что и "nw". "hoze" распаковывает загруженный сжатый файл и запускает ELF-файл с именем "init0". "init0" - это штамм вредоносного ПО, который предоставляет различные дополнительные функции, например, установку XMRig CoinMiner.

В отличие от недавно подтвержденных атак, угрожающий агент "KONO DIO DA" использовал более широкий спектр функций во время своих прошлых атак. Одной из основных функций, которые они использовали, была функция поддержания стойкости. В сжатом файле существовал файл "ключ".

В файл "key" был включен следующий открытый SSH-ключ. "init0" удаляет существующий файл "~/.ssh/authorized_keys" и копирует файл "key", который находился внутри сжатого файла, в этот каталог.

При входе на удаленный SSH-сервер можно войти в систему без идентификатора и PW, сгенерировав открытый и закрытый ключи. Для этого пользователь может сгенерировать открытый и закрытый SSH-ключи, а затем зарегистрировать свой открытый ключ на нужном сервере. После этого закрытый ключ может быть использован для входа в клиент. В данном случае субъект угрозы создает и регистрирует свой открытый ключ, который представляет собой файл "key", по пути "~/.ssh/authorized_keys". Это позволит им впоследствии использовать свой закрытый ключ для входа в зараженную систему.

Кроме того, агент угрозы может использовать команду usermod для добавления учетной записи под названием "cheeki". Если в зараженной системе есть учетная запись с именем "root", "dolphinscheduler", "admin", "es" или "hadoop", то агент угрозы меняет пароль. Этот процесс представляет собой технику поддержания стойкости, которая создает в зараженной системе учетную запись бэкдора, позволяющую субъекту угрозы войти в систему позднее.

Bash-скрипт "uninstall.sh" отвечает за удаление Ali cloud shield (Ann Knight) службы безопасности Alibaba Cloud. kinsing - это штамм вредоносного ПО, который в основном используется для удаления Aegis. kinsing устанавливает Bash-скрипт, который способен удалить не только Aegis, но и Tencent QCloud Monitor. Он также способен отключить SELinux и AppArmor.

Вопреки своему названию, "init.sh" является SHC ELF-файлом, и его простая структура показана ниже. Он отвечает за выполнение CoinMiner и скрытие процесса. Для этого он создает каталог "/var/tmp/..." и использует команду mount для привязки каталога к файловой системе /proc по PID процесса майнера. Это один из ранее известных методов, используемых для сокрытия процессов. Угрожающий агент использует эту простую команду вместо руткита для сокрытия процесса CoinMiner.

Вышеупомянутые скрипты и ELF-файлы SHC выполняют дополнительные роли, в то время как "secure" отвечает за основные функции. "secure" - это ELF-файл, созданный с помощью SHC, который отвечает за выполнение XMRig CoinMiner, установку последней версии XMRig и регистрацию себя в задаче cron. Поэтому, поскольку он регулярно выполняется через задачу cron, если XMRig не существует в системе, загружается последняя версия, чтобы начать добычу криптовалюты на зараженной системе.

При рассмотрении случаев атак на плохо управляемые Linux SSH-серверы, большинство из них связано с установкой DDoS Bot или CoinMiner. Большинство случаев атак CoinMiner не имеют каких-либо примечательных особенностей, поскольку XMRig просто устанавливается для добычи монет Monero. Однако участники угрозы "KONO DIO DA" используют дополнительные вредоносные программы и различные методы нарушения анализа в дополнение к установке XMRig, и эти атаки были подтверждены относительно недавно.

Indicators of Compromise

URLs

  • http://141.95.19.91:8080/xri/config.json
  • http://141.95.19.91:8080/xri/xri
  • http://2.58.149.237:6972/hoze
  • http://2.58.149.237:6972/xri2.tar
  • http://46.41.150.129/.bo/am
  • http://46.41.150.129/.bo/nw
  • http://46.41.150.129/.js/new-xmrig.tgz

MD5

  • 1192697ed3d2302bec3ee828c154e300
  • 1932d2e4081f6dd5c8b32d29b1ab5caf
  • 1db93cb95e409769561efb66e4fd5c72
  • 20ac8a45d129e3ce3444494d9672692c
  • 254784ca05bdd3928d7889d0ea3195ab
  • 4f1661d873cef8a3fa3ca34080816e87
  • 5aa60757665510b2c8e9bb924c2b40ef
  • 5c1ad4a8335fc406040a070b2be661ff
  • 5f89f90efd1568618e72bb30b8e44fce
  • 6e9001516053770f6dd645954240bced
  • 90948ae9f7d167d4016c7a56477a67b3
  • a978aec11a072855e2cfba593160886e
  • bb497b86c26893e10432781c6550e5fc
  • e4cc1a7f992909e8509520fdd6c9a3f7
  • ea30afd4f65f8866bebcaf92168f3241
Комментарии: 0
Похожие записи
0
1 день
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
7 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.