在过去的几个月里,浏览器挖掘继续影响着大量的网站,主要依赖于Coinhive臭名昭著的API。我们特别在这个博客上记录了几个活动Drupalgeddon,攻击者正在利用流行内容管理系统(CMS)中的漏洞,以危及网站并推送客户端和服务器端的有效载荷。
在过去几周中,我们的爬虫使用了几百个站点使用了各种CMS注入了相同的混淆代码,该代码使用Coinhive的Shortlink执行沉默开车挖掘.通过在妥协指标上枢转,我们能够识别从一千个被充当门道的多千个黑客网站接收流量的更大的基础设施,以将流量重定向到涉及Web和标准恶意软件硬币挖掘机的分发的中央服务器。
图1:被破坏的地点点燃的采矿操作
混淆矿工注射液
作为我们常规爬行的一部分,我们寻找对兴趣网站的已知重定向,最近,大多数都与斗鸡域有关。我们检测到数百个新域名,所有被注入十六进制代码的合法网站。一旦解码,它将显示为无形的iframe(1×1像素)CNHV [。] CO / 3H2B2.我们相信这是同一运动的一部分在Sucuri上由人们暴露在5月底。
图2:注入混淆的iframe加载Coinhive的API的WordPress网站
cnhv[。co域名用于Coinhive所调用的内容短暂的链接,基本上是通过使访问者的浏览器在到达目的地网站之前解决一定数量的哈希来电来通过超链接货币化的方式。点击此类链接时,您将看到一个进度条,在几秒钟内,您将被重定向。骗子正在通过将这些短链接加载为隐藏的iframe,以不合理的高哈希计数加载这些特征。
图3:Shortlink正在征税100%
在图3中,我们通过改变iframe的维度使其可见,以显示用户在被重定向之前不必等待几秒钟,只要他们停留在页面上,就会在不知不觉中挖掘。实际上,虽然Coinhive的默认设置是1024哈希值,但是在加载目标URL之前需要3712,000哈希值。
后门启动重定向
查询urlscan.io,我们能够找到同样的硬币关键早在5月7日通过不同的重定向机制。有一个特定的URI模式表明被黑客攻击的站点被用来执行到服务器的重定向5.45.79 [。] 15.这反过来又通过另一个设计的URI创建重定向,其中一个参数是推荐人站点,最终导致将启动Web矿工的硬币短链接。
图4:发现相同的ShortLink从受到妥协的网站,通过中介服务器加载
几个部位已经注射了两个都隐藏cnvh(。]co iframe方法,以及通过后门:
图5:一个被黑的站点注入了Coinhive的短链接和多个被破坏的url
可以通过以下正则表达式标识用于重定向的URI模式:
图6:正则表达式显示了折衷站点之间的匹配
Blackhat SEO和门道
再次查看这些URI,我们可以注意到存在似乎是搜索引擎优化(SEO)相关的某些关键字(例如:
cctvvietnam [。] com / 1hqg / wzdea.php?lrscye =MongoDB.-数数-领域Pixelbedlbo.co [。]英国/ 9ul8 / 6nfme.php?lrscye =相对论-软件-成本valam [。] / f8wb / z8d6w.php?lrscye =辅导-在-埃及stemat [] pl / klwy / dzwfy.php吗?lrscye =vin.-解码器-梅塞德斯whylab [。] nl / podd / 1hwnz.php?lrscye =GPON.-首页-网关-开发soho-dom[]俄文/ el5p / ywuul.php吗?lrscye =BTS.-专辑-下载-邮政编码
我们证实,确实有一些谷歌或必应搜索显示的结果包括作为“门道”的受损站点列表,这些站点通常通向流量分配系统或转发器(5.45.79[.]15)。在这种情况下,门口是用来骗人们下载的恶意硬币矿工而不是他们正在寻找的文件。
图7:尽管出现,但此文件不是100%干净
注意5.45.79的服务器[。15正在执行重定向到另一个被黑的网站(motoir [。] com),从URI传递的关键字动态地用于创建看起来唯一的下载页面和文件。
图8:Web流量显示重定向序列
恶意的硬币矿工
执行后,此可执行文件将解压缩以下三个二进制文件:
- winsystem.exe.: XMRig矿机
- Clock.exe.: .bat文件包装到EXE中包含命令
- netflash.exe:一个非常简单的下载器,写在.NET中。
批处理脚本通过设置一个注册表项来添加持久性,杀死某些进程(可能已经在运行的矿机),并通过启动来开始挖掘:
WinSystem.exe -B-B -A Cryptonight -o 37.1.197 [。] 121:80 -P x -u%computername%+ 500 - max-cpu-mesage = 30 - donate-locl = 1 -k
图9:批处理脚本显示挖掘代码
假下载二进制文件是基于相同的代码,来自矿机,托管在5.45.79 [。] 15 / xxxphoto.exe.使用Virustotal Intelligence,我们能够扩展这一基础架构并识别另一个硬币矿工,这次是精灵文件,基于此cnrig图书馆,主持:5.45.79 [。] 15 / monero / cnrig.
图10:显示在同一服务器上托管的ELF和Win32矿工的图表
这里有一条评论virustotal报告页面表示该矿工在受感染的服务器上找到并从名为PHP后门下拉zz1.php..搜索那个文件名,我们找到了一个可能的候选人上传到公共场所。解码Base64编码的字符串,我们可以更好地归咎于这是攻击者使用的恶意PHP文件下载Linux硬币矿工5.45.79 [。] 15 / monero / cnrig:
图11:PHP代码上传到负责ELF矿工下载的受损站点
一旦它检索到ELF二进制文件,它会使用以下命令运行它,以便开始挖掘:
./cnrig -o 5.61.46 [。] 146:80 - do level = 1> / dev / null 2>&1
代理人
由于矿工在不使用钱包地址的情况下连接到私人池(并且可能是通过代理),因此我们无法评估肇事者使用此方案产生了多少钱。
实际上,服务器在5.45.79 [。] 15也有自己的ProxyPanel:
图12:基于的代理xmrig-proxy.
迈尔的XMRIG版本有一个公共统计页面,表明接近500种受感染的机器,这些机器参与了采矿活动。对于CNRIG版本,我们无法找到任何此类数据,尽管被黑客服务器的数量要高得多。
越来越多的网站
周围的收集货币的利益大大改变了与犯罪分子的恶意软件景观,希望得到一块行动。因此,越来越多的网站正在受到损害客户端和服务器端来分发和运行硬币矿工。
在这次活动中,我们看到基础设施通过欺骗用户下载他们在网上搜索的文件来将XMRig矿机推送给用户。与此同时,被黑客攻击的服务器被指示下载并运行一个Linux矿机,这给作乱者带来了利润,但给矿机所有者带来了成本。最后,可以看到Coinhive的短链接被滥用来执行浏览器挖掘。
必威平台APP阻止恶意挖掘,无论是由恶意软件触发还是通过受损网站加载。
谢谢@dynamicanalysis.分享其他信息。
妥协的指标
模糊cnvh的字符串[。)有限公司注入
VHISDUHVUHIUSDHFBHEWVHISDHBYBGUYEBRRFSD.
Coinhive shortlink
CNHV [。] CO / 3H2B2
硬币网站钥匙
Dkpy5v4CBgwZqzPRosdHKDB7DQsc1Sav
RegEx for Intromiced Sites重定向
\ [(\ w {4} | \ w {8}) \ [(\ w {5} | \ w {9}) \ php \ ? ([a - z] {6} | [a - z] {3}) = (\ w) {1, 25} - [\ w] 25 {1,}
重定向服务器
5.45.79 [。] 15
Windows矿工滴管
5.45.79 15 / xxxphoto.exe 38 f55239519523638dc2b3958f5e9951a6b04f813336927a4f7de717518e5b44(。)
Linux矿工
5.45.79 [。] 15 / monero / cnrigc890d18fe3753a9ea4d026fc713247a9b83070b6fe40539779327501916be031
评论