欢迎访问本站!

首页科技正文

usdt无需实名买卖(www.payusdt.vip):WatchDog实行加密挟制流动已经有两年了(一)

admin2021-04-07236资讯

USDT自动API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

unit42的研究职员前段时间刚刚揭漏已知存在的最大、连续时间最长的门罗币加密挟制流动。 加密挟制(Cryptojacking),也称挖矿挟制,是加密钱币领域的新兴词汇,指的是在未经授权的情形下行使他人的硬件装备举行加密钱币挖矿。现在研究职员将该操作称为WatchDog,这个名称取自名为watchdogd的Linux守护程序。 WatchDog挖矿挟制自2019年1月27日以来一直在运行,现在已网络至少209个门罗币(门罗币),价值约32056美元。研究职员已经确定,至少有476个主要由Windows和NIX云实例组成的被损坏的系统在任何时间都在举行挖掘操作,时间跨越了两年。

现在估量恶意加密挟制操作将影响23%的云环境,高于2018年的8%。这一增进主要是由于加密钱币估值的急剧上升所致,到2024年,加密钱币背后的手艺——区块链的全球市场预计将到达607亿美元,个犯罪组织正摩拳擦掌试图从中赚钱。

unit42的研究职员会在本文详细先容WatchDog加密挟制流动,WatchDog挖矿由三部门组成:Go语言二进制文件集,bash或PowerShell剧本文件。二进制文件执行特定的功效:其中一个功效模拟了Linux watchdogd守护历程的功效,确保挖矿历程不会挂起、超载或意外终止;Go二进制文件下载一个可设置的IP地址列表,然后再提供扫描操作中发现的NIX或Windows系统的目的行使操作的功效;Go二进制剧本将在Windows或NIX操作系统(OS)上使用启动的bash或PowerShell剧本的自界说设置启动挖矿操作。WatchDog对Go二进制文件的使用允许它使用相同的二进制文件在差其余操作系统(即Windows和NIX)上执行指定的操作,只要Go语言平台安装在目的系统上。

研究职员已经绘制出了挖矿作业背后的基础设施,现在他们已经识别出18个根IP终端和7个恶意域名,们至少提供125个用于下载其工具集的恶意URL地址。

2019年10月,unit42报道了“Graboid”攻击,这是第一次看到使用Docker Engine中的容器流传的加密挟制蠕虫。由于大多数传统的珍爱程序都不检查容器内的数据和流动,因此这种恶意流动很难检测到。攻击者通过不平安的Docker守护程序获得了最初攻击切入点。恶意程序是通过C2服务器下载,用于挖掘门罗币并定期从C2查询新的易受攻击主机,随机选择下一个目的以将蠕虫举行流传。剖析解释,平均每个矿工有63%的时间处于流动状态,每个采矿周期连续250秒。

从现在活跃系统的总数来看Graboid是迄今为止已知的最大的挖矿攻击流动,在它运行的时刻,它包罗了至少2000个暴漏的和被损坏的Docker守护程序API系统。每台装备上的Graboid程序65%的时间都在作业,这意味着任何时刻都有1300个被攻击的Docker容器可随时开采。此外,由于设置剧本行使了所有可用的容器中央处置单元(cpu),,因此Graboid还可以实现更高的处置速率。然则,在删除Docker Hub映像之前,仅已知Graboid可以运行三个月。

另一方面,WatchDog不依赖第三方网站来承载其恶意载荷,这使得它在撰写本文时仍能保持活跃,现在已经活跃了两年以上。

很显著,WatchDog都是熟练的程序员,他们的挖矿作业相对对照专业。虽然现在没有迹象解释有分外的云泄露流动,即获取云平台身份和接见治理(IAM)凭证、接见ID或密钥,但可能存在进一步的云账户泄露的可能性。由于在植入密码挟制程序时代获得了根和治理接见权,这些介入者很可能在他们已经受到损坏的云系统上找到与IAM相关的信息。

Palo Alto Networks Pri *** a Access设置为通过PAN-OS检测WatchDog的18个IP地址、7个域及其关联的URL地址。Pri *** a Cloud还检测到WatchDog 挖矿程序在安装了Pri *** a Cloud Compute Defender的云环境中使用的恶意XMRig历程。

公共矿池

研究职员在WatchDog设置文件中确定了三个门罗币钱包地址。这些设置文件与WatchDog挖矿二进制文件一起下载,并包罗在挖矿操作时代使用的门罗币钱包地址和挖矿池。图1显示了设置文件config.json的示例。

详述门罗币钱包地址的config.json文件

检查了WatchDog使用的所有已知config.json文件后,unit42的研究职员确定了三个门罗币钱包地址为:

这三个门罗币钱包地址与至少三个公共挖矿池和一个私人挖矿池一起使用,以处置挖矿操作、性能、功效和支付。

WatchDog挖矿使用的公共和私人矿池

以下8个截图说明晰从f2pool、nanopool和GNTL公共挖矿池网络到的三个门罗币钱包的发现效果。

f2pool矿池

F2Pool 也被称作“鱼池”,中国最早的比特币矿池,由王淳、毛世行两个比特币手艺的早期兴趣者开办,2013 年 4 月确立于中国北京,5 月 5 日开放。

现在已经发展为全球领先、最大的综合性数字钱币矿池,同时支持比特币、莱特币、以太币、零币的综合性数字钱币矿池。其手艺先进,收益透明公然,超强抗 DDoS 能力,接纳独创架构有用提防攻击。

据 F2Pool 估算,其服务了中国泰半的矿业社区,曾经占到海内一半的算力,在全天下局限内拥有跨越 10 万的地层链接。

图2和图3说明晰以“43zq”开头的门罗币地址在f2pool公共挖矿池中被大量使用,约莫占用了200个门罗币。与此同时,以“82et”开头的门罗币钱包地址运行的规模要小得多,只引入了2.3 门罗币(见图4和图5)。

门罗币钱包43zq及其门罗币总数

门罗币钱包43zq及其30天的算力

门罗币钱包82et及其门罗币总数

门罗币钱包82et及其30天的算力

Nanopool矿池

在以太坊经典生态系统中,最大的一个矿池是 NanoPool。现在该矿池的网络算力跨越 1.25/s。在近 5000 名矿工和约 12000 名工人的情形下,NanoPool 很快成为了众多矿工中最受迎接的一个。同时 NanoPool 还支持其他的加密资产。

以“82et”开头的门罗币地址在f2pool公共采矿池中的流动较少,但与以“43zq”开头的门罗币钱包地址(参见图6和7)相比,它在nanopool公共采矿池中的介入水平更大(参见图8和9)。然则,nanopool采矿操作仅相当于整个WatchDog采矿操作所开采的门罗币总数的一小部门,迄今为止已开采了6.8个门罗币。

门罗币钱包82et及其算力

门罗币钱包82et及其门罗币支付

门罗币钱包43zq及其算力

门罗币钱包43zq及挖掘的所有门罗币

GNTL 门罗币矿池

,

USDT跑分平台

U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。

,

已经确定了一个设置文件,它将以“87qa”开头的钱包的潜力链接到这里列出的所有三个公共挖矿池,但只有GNTL显示了与“87qa”门罗币钱包相关的任何挖矿操作(请参见图10)。然而,这个门罗币钱包地址在WatchDog操作中似乎没有被大量使用。在撰写本文时,使用“87qa”门罗币地址从GNTL中只挖矿了0.59 个门罗币(参见图10和11)。

门罗币钱包87qa和门罗币算法

门罗币钱包87qa和挖掘的所有门罗币

在三个公共矿池网络的数据中,unit42的研究职员盘算出跨公共矿池的门罗币钱包的平均算力为1037kh/s。研究职员随后对现在起劲介入加密操作的系统数目举行了估算。守旧地估量,无论何时,都平均有476个系统介入了“WatchDog”挖矿作业。

该估量值是凭证一些最大的云提供商的CPU系统结构文档盘算得出的,所有云提供商都在其大多数云VM实例上使用Intel Xeon E5和AMD EPYC cpu。

我们可以使用盛行的XMR挖掘软件XMRig的基准哈希盘算器来盘算中端Intel Xeon E5和AMD EPYC系列7处置器的算力。每个处置器上的一个线程可以为AMD EPYC系列7发生约莫543 H/s(每秒的哈希)的算力,为Intel Xeon E5发生544 H/s的估量算力。思量到WatchDog挖矿设置了文件config.json,该挖矿程序将在受熏染系统上最多使用四个线程(请参见图12)。

WatchDog 挖矿 CPU设置

凭证设置指南,这将导致系统平均处置时间为2172 - 2176算力,使用最多4个线程。对于整个WatchDog挖矿操作,平均处置总量为100多万算力,这意味着在任何时间,可能总共有476个系统介入挖矿操作。

系统的数目取决于被攻击和使用的VM实例类型,需要注重的是,并不是每个受影响的系统都能够以相同的规模处置XMRig操作。可能同时运行这个估量数目的两倍(快要900个系统),若是较小的、不那么健全的云VM实例被攻击并被用于处置门罗币哈希,则可以实现这种巨细的挖掘操作。

WatchDog基础设施

从公共矿池数据中可以看出,自2019年1月27日起,WatchDog挖矿程序一直处于活跃状态。从那时起,就已经泛起了许多恶意软件样本,这些样本指向WatchDog基础结构,稀奇是初始化bash剧本,该剧本用于启动系统和挖矿新受攻击系统的设置历程。

通过剖析这些初始化bash剧本,Unit 42研究职员能够跟踪WatchDog攻击者若何在受熏染的系统上设置挖掘操作。该剧本的开发者展示了他们若何设置和设置他们的挖矿基础设施。在每个已知的操作中,初始化bash剧本都被下载到受攻击的系统上,并执行一系列功效。大多数加密挟制操作都有几个配合的功效,即删除云平安工具,删除以前安装的已知恶意加密软件,然后下载和设置自界说的恶意加密程序。然则,WatchDog bash剧本挖矿挖矿程序还会对用于下载WatchDog挖掘toolkit的主要和辅助URL地址举行硬编码(请参见图13)。

确立下令和控制(C2)

使用这些主要和辅助URL地址,unit42的研究职员能够对WatchDog挖矿运营商使用的网络基础设施举行大略估算。

以下Maltego图表说明晰WatchDog使用的已知操作基础结构的总体规模(参见图14)。

WatchDog挖矿操作的Maltego图表

迄今为止,已有18个已知IP地址和7个已知域托管着至少125个URL,这些URL已为或继续为WatchDog挖矿恶意程序和设置文件提供服务。只管大多数恶意程序似乎都集中在* NIX OS系统上,但仍有几种Windows OS二进制文件也托管在一些已知的主机系统上。

与WatchDog挖矿关联的18个已知IP地址

与WatchDog挖矿关联的7个已知域

停止发文时,其中一些主机系统仍在运行。由于处于实时状态,研究职员还可以提取几个恶意文件举行进一步剖析。

WatchDog恶意程序溃逃

研究职员选择了5个相关的恶意程序样原本注释它们的功效,加密操作似乎以bash剧本newdat.sh开头,该剧本界说了三个单独的Go二进制文件和一个JSON设置文件config.json的可下载内容。本文详细先容的Go二进制文件是网络扫描程序和开发二进制文件(称为networkmanager),历程监视二进制文件(称为phpguard)以及恶意XMRig加密矿程序的版本phpupdate。

newdat.sh

Unit 42研究职员已经为执行相同基础设施、网络扫描和系统设置操作的bash剧本确定了四个差其余文件名,这些文件名为init.sh,newinit.sh,newdat.sh和update.sh。

在初始化剧本中有8个怪异的操作:

1.环境设置:设置文件和目录的读写权限,并将下载的文件保留到预先设置的位置;

2.卸载云平安工具:

2.1即阿里巴巴云平安中央和腾讯云平安运营中央;

2.2这是一些加密操作(包罗rock和TeamTnT等组)常用的操作;

3.下载toolkit:下载三个Go二进制文件和一个设置文件;

4.kill_miner_proc:终止已知的挖矿历程;

5.kill_sus_proc:终止先前安装的监控挖矿历程;

6.下载:下载用于扫描的IP地址局限;

7.unlock_cron:解锁/etc/crontab文件;

8.lock_cron:锁定/etc/crontab文件;

也许unit42的研究职员发现的最有用的剧本操作之一是关于WatchDog toolkit下载位置的一节。如前面基础设施部门所示,这些剧本详细说明晰当前哪些终端加载着恶意加密文件。

确立下令和控制(C2)

如图15所示,newdat.sh剧本中存在硬编码链接,这些链接指向URL地址并标识挖矿二进制文件、设置文件、扫描二进制文件和WatchDog历程,甚至是初始剧本自己的另一个版本,这可以让攻击者近乎实时地更新活跃的挖矿流动。

本文翻译自:https://unit42.paloaltonetworks.com/watchdog-cryptojacking/:

网友评论