概述

1、分析源起

CNCERT對(duì)監(jiān)測(cè)發(fā)現(xiàn)的海量攻擊事件進(jìn)行綜合分析，挖掘各類(lèi)攻擊資源在行為、歸屬等方面的相似性關(guān)系，進(jìn)而將網(wǎng)絡(luò)攻擊事件轉(zhuǎn)換為“攻擊團(tuán)伙”的視角，并對(duì)各攻擊團(tuán)伙進(jìn)行長(zhǎng)期跟蹤。

近期，CNCERT與天融信公司聯(lián)合分析挖掘的某個(gè)團(tuán)伙經(jīng)外部情報(bào)比對(duì)標(biāo)定為“8220”挖礦團(tuán)伙。通過(guò)CNCERT的數(shù)據(jù)發(fā)現(xiàn)，該團(tuán)伙近期在互聯(lián)網(wǎng)上較為活躍，持續(xù)通過(guò)Tsunami僵尸網(wǎng)絡(luò)進(jìn)行控制感染，且其掌握的挖礦木馬也在持續(xù)迭代，不斷增強(qiáng)其惡意挖礦的適應(yīng)能力。

2、“8220”黑客攻擊團(tuán)伙近期活躍情況

“8220”團(tuán)伙是自2017年以來(lái)持續(xù)活躍的挖礦團(tuán)伙，該團(tuán)伙擅長(zhǎng)利用反序列化、未授權(quán)訪問(wèn)等漏洞攻擊Windows和Linux服務(wù)器，隨后通過(guò)下載僵尸網(wǎng)絡(luò)程序、挖礦程序、端口掃描工具等對(duì)主機(jī)進(jìn)行控制和惡意利用。

目前挖礦是該團(tuán)伙主要活躍領(lǐng)域，根據(jù)CNCERT近期抽樣監(jiān)測(cè)，該團(tuán)伙滲透了4千臺(tái)左右的設(shè)備并傳播挖礦木馬。針對(duì)不同操作系統(tǒng)，“8220”團(tuán)伙執(zhí)行會(huì)相應(yīng)的程序模塊：在Linux平臺(tái)釋放的木馬程序會(huì)關(guān)閉防火墻、殺死競(jìng)爭(zhēng)對(duì)手程序、下載惡意載荷，并執(zhí)行由開(kāi)源挖礦程序XMRig改編的挖礦程序，進(jìn)而控制主機(jī)實(shí)施惡意挖礦;在Windows平臺(tái)的惡意程序通過(guò)解密惡意載荷下載地址，校驗(yàn)錢(qián)包及礦池地址，創(chuàng)建線程任務(wù)生成礦池配置文件，最終創(chuàng)建快捷方式自啟動(dòng)項(xiàng)來(lái)持久化運(yùn)行挖礦程序。

此外，CNCERT近期監(jiān)測(cè)跟蹤發(fā)現(xiàn)，該團(tuán)伙近期持續(xù)傳播Tsunami僵尸網(wǎng)絡(luò)程序，根據(jù)目前抽樣結(jié)果分析，被該團(tuán)伙控制的Tsunami僵尸網(wǎng)絡(luò)受控主機(jī)IP數(shù)量超過(guò)千臺(tái)。Tsunami僵尸程序的主要功能為遠(yuǎn)程控制、DDoS攻擊和其他惡意行為，因此8220團(tuán)伙除惡意挖礦外，也可發(fā)起DDoS攻擊，已不單純是開(kāi)展惡意挖礦的黑客團(tuán)伙。

CNCERT建議，對(duì)暴露在公網(wǎng)上的應(yīng)用服務(wù)使用高強(qiáng)度口令及認(rèn)證機(jī)制，定期對(duì)服務(wù)器進(jìn)行加固，盡早修復(fù)服務(wù)器相關(guān)高危漏洞，及時(shí)更新補(bǔ)丁。當(dāng)發(fā)現(xiàn)主機(jī)存在挖礦木馬及僵尸網(wǎng)絡(luò)程序時(shí)，務(wù)必立即進(jìn)行全方位的檢查處理。

近期攻擊資源挖掘分析

1、團(tuán)伙資源圖譜

下圖為CNCERT挖掘出來(lái)的該團(tuán)伙近期的攻擊資源圖譜，包括樣本、惡意樣本下載地址等。

2、惡意樣本下載地址分析

對(duì)目前捕獲到的8220團(tuán)伙的放馬URL進(jìn)行分析，發(fā)現(xiàn)該團(tuán)伙的惡意樣本下載地址在路徑上偏好使用bashirc.i686、masscan、x64b、scan、hxx等字符串，如下表所示：

表：部分惡意樣本下載地址及對(duì)應(yīng)文件路徑偏好表

惡意樣本下載地址舉例 文件路徑偏好

http://80.71.158.96/bashirc.i686 bashirc.i686

http://a.oracleservice.top/bashirc.i686

http://194.38.20.31/masscan masscan

http://80.71.158.96/masscan

http://bash.givemexyz.in/x64b x64b

http://89.41.182.160 /x64b

http://80.71.158.96/scan scan

http://bash.givemexyz.in/scan

http://80.71.158.96/hxx hxx

http://89.41.182.160/hxx

http://89.41.182.160/x86_64 x86_64

http://185.157.160.214/x86_64

3、惡意樣本家族分析

截至目前，捕獲到該團(tuán)伙的惡意樣本家族及變種如下表所示。

表：惡意樣本家族、功能、種類(lèi)

樣本家族 樣本功能 種類(lèi)

Tsunami 遠(yuǎn)程控制、DDoS攻擊和其他惡意行為 6類(lèi)

CoinMiner 下載惡意載荷、執(zhí)行挖礦 10類(lèi)

Portscan 端口掃描 1類(lèi)

3.1、Tsunami僵尸網(wǎng)絡(luò)程序分析

Tsunami是流行的僵尸網(wǎng)絡(luò)程序家族。該程序的C2服務(wù)器與受控主機(jī)之間通過(guò)IRC協(xié)議進(jìn)行控制和通信，其功能包括遠(yuǎn)程控制、DDoS攻擊和其他惡意行為。CNCERT目前檢測(cè)到8220團(tuán)伙使用的該家族的惡意樣本共計(jì)6種，如下表所示：

表：Tsunami家族的惡意樣本名、MD5

惡意樣本名 樣本MD5 C2地址

x32b ee48aa6068988649e41febfa0e3b2169 c4k.xpl.pwndns.pw、104.244.75.25

bashirc.i686 0ba9e6dcfc7451e386704b2846b7e440 51.255.171.23

bashirc.x86_64 63a86932a5bad5da32ebd1689aa814b3 51.255.171.23

x64b c4d44eed4916675dd408ff0b3562fb1f 104.244.75.25

ox44oh2x9.dll 9e935bedb7801200b407febdb793951e 104.168.71.132

3z8a7kr4z.dll b2755fc18ae77bc86322409e82a02753 104.168.71.132

該類(lèi)僵程序通過(guò)向被控制設(shè)備發(fā)送各類(lèi)指令命令，來(lái)發(fā)起對(duì)應(yīng)的DDOS攻擊的功能，同時(shí)該程序還提供功能指令，例“GET”文件下載功能。

3.2、CoinMiner挖礦樣本分析

8220挖礦團(tuán)伙在Windows與Linux雙平臺(tái)均可進(jìn)行惡意載荷下載及挖礦，并且在不同的平臺(tái)配置相應(yīng)的礦池地址。

? Linux平臺(tái)

捕獲到該團(tuán)伙在Linux平臺(tái)上的木馬，如下表所示：

表：Linux平臺(tái)惡意樣本信息

惡意文件名 樣本MD5 病毒名

7ff1601a0291bd214573956dcda33230.virus 7ff1601a0291bd214573956dcda33230 Trojan.Linux.CoinMiner.Botnet

dbused dc3d2e17df6cef8df41ce8b0eba99291 Virus.Linux.CoinMiner

X86_x64 eb2f5e1b8f818cf6a7dafe78aea62c93 Trojan.Linux.CoinMiner.Botnet

i686 101ce170dafe1d352680ce0934bfb37e Trojan.Linux.CoinMiner.Botnet

Linux平臺(tái)下的礦池及錢(qián)包地址如下表所示。

表：礦池及錢(qián)包地址

礦池地址 錢(qián)包地址

c4k-rx0.pwndns.pw 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

146.59.198.38

pool.supportxmr.com

? Windows平臺(tái)

捕獲到該團(tuán)伙如下在Windos平臺(tái)上的木馬，如下表所示：

表：Windows平臺(tái)惡意樣本信息

惡意文件名 樣本MD5 病毒名

mywindows.exe 08e7d711e13e1e95bbd5dc576d90f372 Trojan.Win32.CoinMiner.Botnet

oracleservice.exe 0958fa69ba0e6645c42215c5325d8f76 Trojan.Win32.8220.Coinminer

oracleservice.exe 6e7c0ff683d771875cd7edd2ed7b72e2 Trojan.Win32.8220.Coinminer

oracleservice.exe 2559e97c13e731d9f37b1630dff2bb1e Trojan.Win32.8220.Coinminer

oracleservice.exe b2d3f97fa0a66683e217b1f06ec9c4c8 Trojan.Win32.8220.Coinminer

xmrig.exe f0cf1d3d9ed23166ff6c1f3deece19b4 Virus.Win32.CoinMiner

下表為4個(gè)樣本觀測(cè)到的出現(xiàn)時(shí)間以及樣本文件的大小，由此可看出，在惡意挖礦方面，該團(tuán)伙具有較為持續(xù)的更新能力。

表：不同樣本出現(xiàn)時(shí)間的變化情況

樣本MD5 最早出現(xiàn)時(shí)間 最晚出現(xiàn)時(shí)間 文件大小

0958fa69ba0e6645c42215c5325d8f76 2021/10/25 2021/11/10 2234368

6e7c0ff683d771875cd7edd2ed7b72e2 2021/11/14 2022/1/21 2234368

2559e97c13e731d9f37b1630dff2bb1e 2022/1/20 2022/3/26 2468864

b2d3f97fa0a66683e217b1f06ec9c4c8 2022/3/26

2467328

Windows平臺(tái)下的礦池及錢(qián)包地址如下表所示。

表：Windows平臺(tái)下挖礦程序的礦池及錢(qián)包地址

礦池地址 錢(qián)包地址

xmr.givemexyz.in 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

198.23.214.117:8080

212.114.52.24:8080

3.3、Portscan端口掃描木馬分析

該團(tuán)伙采用端口掃描手段來(lái)發(fā)現(xiàn)其他可用資源，之后再進(jìn)行攻擊爆破等系列行為。以Trojan.Win32.PortScan為例，相關(guān)分析如下。

惡意程序首先會(huì)判斷傳入值是否小于等于2，如果是，就會(huì)退出程序，因?yàn)樵摮绦蛑恢С諶edHat linux。如果修改這里的傳入值，后續(xù)依舊會(huì)退出，并不能動(dòng)態(tài)調(diào)試，故后續(xù)內(nèi)容為靜態(tài)分析。

4、IP及域名資源分析

目前捕獲的8220攻擊團(tuán)伙的IP類(lèi)型的攻擊資源，主要分布美國(guó)、烏克蘭等國(guó)家。

表：IP類(lèi)型的團(tuán)伙資源

IP IP功能 所屬?lài)?guó)家 所屬地區(qū)

194.38.20.31 放馬服務(wù)器IP 烏克蘭 基輔

80.71.158.96 放馬服務(wù)器IP 烏克蘭 第聶伯羅彼得羅夫斯克州

45.61.184.118 放馬服務(wù)器IP 美國(guó) 佛羅里達(dá)州 邁阿密

212.114.52.24 放馬服務(wù)器IP 德國(guó) 黑森州 美因河畔法蘭克福

209.141.59.139 放馬服務(wù)器IP 美國(guó) 內(nèi)華達(dá)州 拉斯維加斯

89.41.182.160 放馬服務(wù)器IP 羅馬尼亞 布加勒斯特

205.185.118.119 放馬服務(wù)器IP 美國(guó) 內(nèi)華達(dá)州 拉斯維加斯

91.198.77.78 放馬服務(wù)器IP 荷蘭 阿姆斯特丹

104.244.75.25 C2 盧森堡 盧森堡區(qū)

51.255.171.23 C2 法國(guó) 上法蘭西大區(qū)

104.168.71.132 C2 美國(guó) 紐約州

目前捕獲的8220攻擊團(tuán)伙的域名類(lèi)型攻擊資源如下表所示。

表：域名類(lèi)型的團(tuán)伙資源

域名 域名功能 注冊(cè)時(shí)間 過(guò)期時(shí)間 注冊(cè)商

bash.givemexyz.in 放馬域名 2020/9/25 2022/9/25 TucowsInc.

a.oracleservice.top 放馬域名 2021/11/3 2022/11/3 TucowsInc.

c4k.xpl.pwndns.pw C2域名 2019/3/7 2023/3/7 Sarek

惡意樣本傳播及感染控制分析

1、傳播面分析

為CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)的近期該團(tuán)伙惡意樣本傳播規(guī)模的活躍情況。在近期，單日對(duì)上千臺(tái)主機(jī)成功實(shí)施漏洞攻擊，并下載挖礦、僵尸網(wǎng)絡(luò)程序等惡意樣本。

抽樣監(jiān)測(cè)發(fā)現(xiàn)，上述團(tuán)伙傳播目標(biāo)IP所在地域主要集中在北京、廣東、上海等省份城市，區(qū)域占比圖如下所示：

2、Tsunami僵尸網(wǎng)絡(luò)控制情況分析

CNCERT對(duì)團(tuán)伙控制的Tsunami僵尸網(wǎng)絡(luò)進(jìn)行抽樣監(jiān)測(cè)，在2022年1月至4月，共抽樣發(fā)現(xiàn)受控的主機(jī)IP地址近2000個(gè)。下圖為每日感染的主機(jī)IP數(shù)量情況。

其中，北京、重慶、上海感染的受到該團(tuán)伙掌握的Tsunami僵尸網(wǎng)絡(luò)控制的主機(jī)IP數(shù)量最多，分別為432個(gè)、298個(gè)、269個(gè)。受控主機(jī)地IP地理位置分布情況如下。

監(jiān)測(cè)發(fā)現(xiàn)，該團(tuán)伙控制的僵尸網(wǎng)絡(luò)受控主機(jī)IP類(lèi)型中，境內(nèi)家庭和境內(nèi)IDC分別占39.21%、36.21%。其中IDC類(lèi)型的IP不少。

“8220”團(tuán)伙樣本舉例分析

1、Tsunami僵尸網(wǎng)絡(luò)程序分析

該程序在運(yùn)行時(shí)首先通過(guò)獲取字典文件里的數(shù)據(jù)，隨機(jī)生成以下信息：

nick = XJZGGP

ident = ECGLO

user = GDID

chan = “#.br”

key = “ircbot456@”

server = 0

在建立連接以后，向目標(biāo)發(fā)送一串固定格式的數(shù)據(jù)，數(shù)據(jù)內(nèi)容為之前獲取的內(nèi)容。

發(fā)送數(shù)據(jù)包內(nèi)容后，等待接收攻擊者的控制命令，接收到的數(shù)據(jù)如下：

之后會(huì)根據(jù)接收不同的指令，可發(fā)起不同方式的DDoS攻擊，例“PAN”代表Syn flood攻擊，“UDP”代表udp flood攻擊，如下圖：

2、CoinMiner挖礦樣本分析

? Linux平臺(tái)

以下為兩個(gè)樣本舉例分析。

惡意樣本一：Linux載荷下載程序7ff1601a0291bd214573956dcda33230.virus

該樣本的主要功能是關(guān)閉防火墻、測(cè)試連接礦池等地址、執(zhí)行下載惡意載荷、殺死競(jìng)爭(zhēng)對(duì)手的挖礦程序等。

首先，關(guān)閉selinux防火墻，并將進(jìn)程的文件數(shù)量修改為50000，如下圖：

之后，分別對(duì)pool.supportxmr.com(礦池)、bash.givemexyz.in（載荷下載鏈接域名）發(fā)起ping測(cè)試。如測(cè)試正常，則開(kāi)始下載惡意載荷，并將下載文件重命名為dbused。

最后殺死競(jìng)爭(zhēng)對(duì)手的挖礦程序，最大化利用系統(tǒng)資源，如下圖：

惡意樣本二：Linux挖礦程序dbused

挖礦程序采用開(kāi)源挖礦程序XMRig編譯而成，樣本被加了upx殼，并使用特殊字符串“pwnrig”進(jìn)行標(biāo)記。XMRig編譯后如下圖所示：

配置礦池地址信息。

配置礦池的賬戶密碼信息。

配置CPU最大線程及內(nèi)存池大小，以高效率運(yùn)行。

最后進(jìn)行挖礦，可看到挖礦流量。

? Windows平臺(tái)

以下分別分析第一和第二到五個(gè)樣本。

惡意樣本一：Windows挖礦程序mywindows.exe

該木馬主要功能為解密出下載惡意載荷的URL、創(chuàng)建多線程生成礦池信息配置文件、配置挖礦程序自啟動(dòng)項(xiàng)等。

該木馬程序初始化之后首先解密出惡意載荷下載地址URL,如下圖所示：

通過(guò)自定義算法分別對(duì)錢(qián)包地址、礦池地址計(jì)算相應(yīng)值，之后對(duì)兩個(gè)值進(jìn)行校驗(yàn)，如果不相同，就會(huì)退出程序，如下圖所示：

隨后生成ALmRPARcYN文件夾，再通過(guò)創(chuàng)建線程任務(wù)，拷貝自身存放在該任務(wù)目錄下，并生成經(jīng)過(guò)base64編碼的cfg配置文件，文件內(nèi)容為礦池信息，如下圖：

之后，在啟動(dòng)項(xiàng)中創(chuàng)建一個(gè)Internet 快捷方式(.url)，用于自啟動(dòng)運(yùn)行，如下圖所示：

惡意樣本二至五：Windows挖礦程序oracleservice.exe

目前捕獲到該團(tuán)伙名為oracleservice.exe 的樣本攻擊4個(gè)，均為T(mén)rojan.Win32.8220.Coinminer挖礦木馬。除包含相同的代碼部分外，一直持續(xù)迭代變化中，其中相同的代碼如下圖所示：

對(duì)策和建議

● 對(duì)暴露在公網(wǎng)上的應(yīng)用服務(wù)使用高強(qiáng)度口令及認(rèn)證機(jī)制，避免多個(gè)服務(wù)使用相同口令。

● 定期對(duì)服務(wù)器進(jìn)行加固，盡早修復(fù)服務(wù)器Apache Struts、Tomcat、WebLogic等相關(guān)高危漏洞，如有條件務(wù)必安裝服務(wù)器端的安全軟件。

● 及時(shí)更新補(bǔ)丁，建議開(kāi)啟自動(dòng)更新功能安裝系統(tǒng)補(bǔ)丁，服務(wù)器應(yīng)及時(shí)更新系統(tǒng)補(bǔ)丁。

● 對(duì)照相關(guān)IOC，發(fā)現(xiàn)是否存在主機(jī)被控行為。

● 當(dāng)發(fā)現(xiàn)主機(jī)存在挖礦木馬及僵尸網(wǎng)絡(luò)程序時(shí)，務(wù)必立即進(jìn)行全方位的檢查處理。

附錄：IOC

1、惡意樣本下載地址

http[:]//80.71.158.96/bashirc.i686

http[:]//a.oracleservice.top/bashirc.i686

http[:]//89.41.182.160/bashirc.i686

http[:]//45.61.184.118/bashirc.i686

http[:]//bash.givemexyz.in/bashirc.i686

http[:]//209.141.59.139/bashirc.i686

http[:]//205.185.118.119/bashirc.i686

http[:]//185.157.160.214/bashirc.i686

http[:]//91.198.77.78/bashirc.i686

http[:]//bash.givemexyz.in/i686

http[:]//a.oracleservice.top/i686

http[:]//194.38.20.31/i686

http[:]//89.41.182.160/i686

http[:]//209.141.59.139/i686

http[:]//bash.givemexyz.in/xms.x86_64

http[:]//a.oracleservice.top/x86_64

http[:]//80.71.158.96/x86_64

http[:]//209.141.59.139/x86_64

http[:]//45.61.184.118/x86_64

http[:]//194.38.20.31/x86_64

http[:]//185.157.160.214/x86_64

http[:]//91.198.77.78/x86_64

http[:]//205.185.118.119/x86_64

http[:]//185.101.107.92/x86_64

http[:]//89.41.182.160/x86_64

http[:]//45.61.184.118/x86_64

http[:]//209.141.59.139/x86_64

http[:]//194.38.20.31/sshpass

http[:]//bash.givemexyz.in/x32b

http[:]//89.41.182.160/x32b

http[:]//a.oracleservice.top/x32b

http[:]//80.71.158.96/x32b

http[:]//bash.givemexyz.in/x64b

http[:]//89.41.182.160/x64b

http[:]//80.71.158.96/x64b

http[:]//a.oracleservice.top/x64b

http[:]//80.71.158.96/hxx

http[:]//89.41.182.160/hxx

http[:]//209.141.59.139/hxx

http[:]//bash.givemexyz.in/hxx

http[:]//209.141.59.139:80

http[:]//89.41.182.160:80

http[:]//194.38.20.31:80

http[:]//205.185.118.119:80

http[:]//209.141.59.139:80

http[:]//185.157.160.214:80

http[:]//80.71.158.96/masscan

http[:]//194.38.20.31/masscan

http[:]//194.38.20.31/banner

http[:]//bash.givemexyz.in/banner

http[:]//194.38.20.31/mywindows.exe

http[:]//89.41.182.160/mywindows.exe

http[:]//a.oracleservice.top/mywindows.exe

http[:]//209.141.59.139/scan

http[:]//89.41.182.160/scan

http[:]//bash.givemexyz.in/scan

http[:]//a.oracleservice.top/scan

http[:]//205.185.118.119/scan

http[:]//194.38.20.31/scan

http[:]//80.71.158.96/scan

http[:]//194.38.20.31/scan2

http[:]//205.185.118.119/scan2

http[:]//89.41.182.160/eii.py

http[:]//194.38.20.31/eii.py

http[:]//205.185.118.119/oracleservice.exe

http[:]//80.71.158.96/oracleservice.exe

http[:]//194.38.20.31/oracleservice.exe

http[:]//89.41.182.160/wxm.exe

http[:]//80.71.158.96/wxm.exe

http[:]//209.141.59.139/wxm.exe

http[:]//194.38.20.31/wxm.exe

http[:]//205.185.118.119/wxm.exe

2、惡意樣本MD5

ee48aa6068988649e41febfa0e3b2169

0ba9e6dcfc7451e386704b2846b7e440

63a86932a5bad5da32ebd1689aa814b3

c4d44eed4916675dd408ff0b3562fb1f

b42183f226ab540fb07dd46088b382cf

7ff1601a0291bd214573956dcda33230

9e935bedb7801200b407febdb793951e

b2755fc18ae77bc86322409e82a02753

08e7d711e13e1e95bbd5dc576d90f372

eb2f5e1b8f818cf6a7dafe78aea62c93

101ce170dafe1d352680ce0934bfb37e

dc3d2e17df6cef8df41ce8b0eba99291

f0cf1d3d9ed23166ff6c1f3deece19b4

0958fa69ba0e6645c42215c5325d8f76

6e7c0ff683d771875cd7edd2ed7b72e2

2559e97c13e731d9f37b1630dff2bb1e

b2d3f97fa0a66683e217b1f06ec9c4c8

3、放馬域名

a.oracleservice.top

bash.givemexyz.in

oracleservice.top

givemexyz.in

4、C2地址

c4k.xpl.pwndns.pw

104.244.75.25

51.255.171.23

104.168.71.132

5、樣本下載服務(wù)器IP

194.38.20.31

80.71.158.96

45.61.184.118

212.114.52.24

209.141.59.139

89.41.182.160

205.185.118.119

91.198.77.78