PyCryptoMiner botnet, um botnet de mineração de criptomoedas que vem via SSH

Especialistas da empresa F5 descobriram uma nova botnet que minera critpomoedas ( Monero ) espalhando-se pelo protocolo SSH que é muito utilizado por administradores para chegar aos seus servidores de forma segura.

O artefato é baseado na linguagem Python e utiliza o Pastebin como infraestrutura servidora de comando e controle caso um dos seus servidores não esteja disponível.

Ou seja, cairam todos os servidores de comando e controle eles utilizam uma estrutura pública que está sempre online, o Pastebin para que a operação não pare.

 

 

Os experts acreditam que esta botnet ainda está em desenvolvimento e os operadores recentemente adicionaram a funcionalidade de scanear servidores JBoss vulneráveis explorando a CVE-2017-12149.

Estima-se que esta botnet já tenha gerado o equivalente a US$46.000 no até o final de dezembro.

Os especialistas acreditam que a Botnet PyCryptoMiner é mais evasiva que outras devido a sua natureza de usar scripts e ainda por cima, torna o processo muito mais difícil de detectar pois roda em cima de um binário legítimo.

O malware se espalha tentando adivinhar as credenciais de login SSH dos sistemas LInux alvo.

Uma vez que as credenciais SSH são descobertas o bot implementa um simples script Python codificado em base 64 para conectar-se no servidor de Comando e Controle e executar um código Python adicional.

O código de segunda etapa é o controlador que registra um trabalho cron na máquina infectada para obter persistência.

O script original verifica se a máquina já foi infectada e também coleta informações do dispositivo, tais como:

  • Nome do host / DNS
  • Sistema operacional e sua arquitetura
  • Número de CPUs
  • Utilização da CPU

O bot envia um relatório com a informação coletada ao servidor de Comando e Controle que por sua vez envia os detalhes da tarefa.

  • cmd “- comando arbitrário a ser executado como um processo separado
  • “Client_version” – se o número de versão recebido do servidor for diferente da versão atual do bot, ele irá parar o bot e aguardará o cron para executar o script novamente para implantar a versão atualizada (o valor atual é “4”)
  • “Task_hash” – identificador de tarefa para que o C & C possa sincronizar os resultados do botnet, porque cada comando tem um tempo de execução diferente
  • “Conn_cycler” – intervalo de tempo para pesquisar o C & C, que é controlado pelo mestre do bot, provavelmente para equilibrar as cargas em sua infraestrutura C & C à medida que o botnet cresce (valor padrão 15 segundos)

O PyCrytoMiner usa dois endereços de pool que mostram aproximadamente 94 e 64 Monero o que soma por volta de US$60.000.

No entanto não dá para saber ainda os lucros globais da botnet.

A análise da página no Pastebin utilizada como servidor de comando e controle mostra que ele pode estar ativo desde agosto de 2017 e que o conteúdo foi visto 177.987 vezes no momento da investigação.

Não é possível determinar o tamanho geral da botnet porque cada bot pode visitar a página periodicamente quando o servidor de Comando e Controle estiver parado.

O botmaster usou o apelido “WHATHAPPEN” que está associado a mais de 36.000 domínios e 235 endereços de e-mail.

O registrante esteve envolvido em fraudes, apostas e serviços para adultos desde 2012.

Abaixo as principais descobertas da F5 em relação a esta botnet.

  • Baseia-se na linguagem Python tornando difícil sua detecção.
  • Usa o Pastebin ( usuário WHATHAPPEN ) para receber novas atribuições do servidor de Comando e Controle se o oficial estiver indisponível.
  • O registrante está associado a mais de 36.000 domínios alguns dos quais conhecidos por golpes , apostas e serviços para adultos desde 2012.
  • A mineração Monero é uma critpmoeda que está sendo muito utilizada por criminosos devido a sua natureza anônima. No final de dezembro de 2017 esta botnet conseguiu gerar cerca de US$46.000 em Monero.
  • A nova funcionalidade do scanner buscava servidores JBoss vulneráveis a CVE-2017-12149.

 

Via Security Affairs

loading...