调查 Mexals 活动的死灰复燃

在此攻击活动中，我们看到了改进的混淆、更不明显的文件名以及自定义矿池代理， 这在以前的迭代中是不存在的。攻击链首先会暴力破解 SSH 凭据。然后是一条冗长的混淆攻击负载链，攻击负载最终会投放一个 XMRig 加密挖矿程序。其中一个投放的攻击负载是一个蠕虫传播模块，我们认为，此模块在这次死灰复燃的攻击中一直十分活跃。

我们还认为，他们 自己的攻击服务器 托管在一个位于荷兰的 VPS 中，而他们的受害者遍布全球。我们估计，攻击者已经成功开采了超过 1 万美元的 XMR 币。

图 2：攻击者采用的不同攻击负载的摘要

我们可以依靠 glibc 的源代码来了解入口点的形态。实际的主函数是加载到 rdi中的函数。仔细研究，我们可以发现一个相当具体的错误字符串： E: neither argv[0] nor $_ works.，我们可以在 Web 上对此进行搜索。因此可以发现 shc。遗憾的是，目前还没有可以轻松获取的反编译器。我们可以调试攻击负载，并在一秒钟后暂停执行，而不是进行逆向工程并创建一个解密程序（这太麻烦了）。解密的 shell 脚本将驻留在恶意软件的内存中，然后我们可以进行转储和分析。

每个攻击负载相对简单地链接在一起，具有各种方法来设置下一个链接。例如，终止竞争对手的挖矿程序或 CPU 密集型进程，清理 bash 历史记录或安装持久性组件，然后下载并执行下一个攻击负载（图 5）。

第一个 webhook 来自一个叫做 toDiscord的函数，它可以传递在目标机器上运行的各种剖析命令的结果。接下来的两个 webhook 从 toAPIlogs 和 toDisc函数调用，它们均传递相同的信息：目标的 IP 和可以向其进行身份验证的用户和密码。

最后，如果受害者正在运行 OpenWrt，将调用另一个叫做 toMirai的函数，它可将相同的信息发送到另一个 webhook。这里存在一些冗余，我们认为这是为了让攻击者更容易跟踪不同的指标，或者，这可能用于分离攻击活动的不同部分（Mirai 作为僵尸网络/IAB，而不是按正常做法将 Mirai 用作加密挖矿程序）。

虽然它“只是”一个经过编译的 bash 脚本，但 攻击负载 很有趣，因为它充满了备注和进度消息，这可以让我们了解恶意软件操作者的思维过程。

备注和进度消息是用罗马尼亚语编写的，这加强了 “攻击者是罗马尼亚人”这一推测 （该恶意软件的命令和控制/下载域字面翻译为“黑客档案”）。

该脚本还检查是否存在其他已知的加密挖矿程序，并终止它们的进程：其中包括 dhpcd 和 ksmdx。 这表明，攻击者意识到了他们所在的生态系统， 而不只是在加密挖矿的世界里碰运气。

在终止竞争对手和其他 CPU 密集型进程后，该脚本会检查机器有多少个 CPU 核心——如果少于 4 个，它只会为它们安装 History 和 Update 以及一个 cron job。（这两个可执行文件负责下载 aliases 攻击负载，并计划在受害者机器重新启动时运行）。如果有四个或更多的核心，该脚本也会下载和执行 .diicot，这是一个经过编译的 bash 脚本，可以下载和执行 XMRig 加密挖矿程序。

最后，如果有八个或更多的 CPU 核心，则该脚本会下载并执行 retea（LAN 传播程序）。

LAN 传播程序模块在攻击者的攻击链中提供了一种新功能。这是另一个经过编译的 shell 脚本，它可提取系统中配置的所有用户，并创建一个名为 .usrs的文件。该文件用于 SSH 字典攻击，并使用提取的用户和硬编码的默认密码列表进行填充。然后，它在 LAN 网络中下载并执行一个网络扫描程序，该扫描程序检测具有开放 SSH 端口的机器，并将输出写入一个文件中。接下来，它会下载并执行 Network，这是一个精简的 aliases版本，功能较少。它没有安装恶意攻击负载，也没有向 Discord webhook 报告，而只是将入侵的机器的输出保存到一个文件中，以后攻击者可以拾取该文件。

由于攻击者具有蠕虫传播攻击负载，因此，很难区分我们的威胁传感器中捕捉到的哪些源 IP 是攻击者基础架构，哪些是受害者。在本节中，我们将尝试剖析攻击者的基础架构并找到实际的受害者。

我们提取了我们检测到的所有攻击 IP（50 个唯一 IP 地址），并将它们映射到它们在全球的地理位置。除了攻击 IP，我们还在 Akamai 的一些客户那里发现了遭受感染的证据，因此，也将他们列入了我们的受害者清单。图 7 显示了受害者/基础架构的地理分布。

图 9：主要攻击 IP，我们假设这些 IP 是攻击者基础架构，而不仅仅是受害者

在这篇博文发布之前，我们向受影响的 Akamai 客户提供了有关攻击的信息，并联系了每个攻击 IP 地址所注册的、遭到滥用的电子邮件。

总结

攻击者采用的攻击负载链无疑令人印象深刻，并勾勒出一个相当复杂的攻击者形象。我们通常也不会看到这么长的攻击负载链，我们认为，攻击者出于几个原因选择使用这么多的攻击负载。

• 混淆 ——系统中的活动部件越多，就越难进行分析和跟踪。“二进制文件遭到混淆”这一事实只会加强这种假设。

• 威胁团体的背后有多名人员。虽然我们没有该攻击活动背后的攻击者的实际信息，但我们已经看到，相同脚本的不同样本之间存在惊人的代码差异，我们只能将其归结为，这些代码由不同的人员开发。

• 恶意软件活动旨在随时间的推移不断发展。我们通过添加的新功能、进一步的混淆以及代码中的一些冗余看到了证据，这些冗余旨在充当未来用途的基础。

根据先前的行动做出的改进和新增的功能

• UPX 打包和剥离 UPX 标头。

• 自动更新功能从攻击负载内部移至脚本外部（History 和 Update。）

• 更加不明显的文件名（Chrome、 Opera ——模仿浏览器）

• 通过 Discord 进行的附加恶意软件报告

• OpenWRT 特定行为 （可能还会有更多行为出现）

• 使用 自定义矿池代理 ，而不是公共矿池

防御者的档案

该恶意软件没有通过任何新颖或复杂的技术来传播自身。它只是在 SSH 上使用字典攻击。因此，只有允许从互联网进行 SSH 连接的机器才面临风险。在网络边界阻止 SSH，或将其移至 VPN 之后，可以大大减少这种攻击带来的风险。

此外，通过使用非默认凭据或复杂的密码，可以大大减少字典攻击（例如该恶意软件使用的这种字典攻击）所造成的风险。我们还建议使用 SSH 密钥进行身份验证，因为这些密钥甚至比密码更安全（它们不可能被猜到，而且“密钥”绝不会在连接中传输）。

最后，我们还需要考虑 LAN 传播程序模块。由于它也在使用 SSH 进行横向移动， 因此对您的网络进行分段 可以安全地抵御这种风险。如果我们把对互联网开放的服务器视为非军事区 (DMZ)，那么，合乎逻辑的做法是：防止 SSH 流量（以及其他一般可用于横向移动的流量，比如 RDP、MS-RPC 或 WinRM）从 DMZ 移到网络的其他部分。如果由于某种原因，您确实需要这些服务器中的某一台通过 SSH 访问内部网络（例如，因为它是一个跳板），那么，首选方法应该是把它移到 DMZ 之外，并通过 VPN 进行管理。避免把服务器暴露在互联网上并允许攻击者从服务器进行内部跳转——减少爆炸半径和传播路径。

我们已经创建了一个 Github 存储库 ，其中提供的工具可以帮助您检测此恶意活动造成的感染。在那里，您会发现一个 bash 脚本、一个完整的 IOC 列表和 Akamai Guardicore Segmentation 客户可以使用的 osquery 查询。您也可以在这篇文章的末尾找到检测脚本和 IOC 的部分列表 。

除了这些工具外，我们还想推荐一种可能适用于这种情况的、用于检测加密挖矿程序的一般方法：通过查看目标端口来检测通往矿池的出站流量。矿池的默认端口有时唯一性特别突出，因此，留意这些端口可能最终会带来好处。例如：

• TCP 端口 4242 这一默认端口适用于此 矿池实施

• TCP 端口 3333、5555、7777、9000 这几个默认端口适用于 nodejs 矿池实施

当然，挖矿程序也可以通过 HTTP 和 HTTPS 与它们的矿池通信，在这种情况下，检测就会困难很多。不过，还是有必要留意这些端口。

攻击迹象

这是 IOC 的部分列表。有关完整列表，请查看我们的 Github 存储库。