揭秘來自中國的數字貨幣「挖礦」軍團 – Bondnet殭屍網路

新聞 05-12

最近，以色列安全公司GuardiCore

發現

了一個名為Bondnet的殭屍網路，該殭屍網路由數萬台被控制的具備不同功率的伺服器肉雞組成。從目前的情況來看，幕後運營者通過遠程控制管理Bondnet網路，進行數字加密貨幣（ Cryptocurrency）挖礦，但也隨時準備著發起類似於Mirai的DDoS攻擊。組成Bondnet殭屍網路的被控肉雞伺服器大多來自全球知名企業、高校、政府和其它公開機構。而據GuardiCore分析，Bondnet的幕後控制者可能來自中國。

Bondnet的控制者通過一系列公開漏洞，利用Windows管理服務（WMI）木馬對伺服器進行入侵控制。根據GuardiCore的分析顯示，昵稱為Bond007.01的Bondnet控制者，能獲得對肉雞伺服器的完全控制權，具備數據竊取、勒索和發起其它進一步攻擊的可能。Bondnet自2016年12月出現以來，主要進行門羅幣（Monero）的挖掘，其一天的收入可達1千美元之多。

本報告中，詳細分析了Bondnet殭屍網路的感染和駐留機制，並描述了其攻擊和控制管理架構，最終還給出了具體的威脅指標（IoC）和檢測清除工具。

Bondnet殭屍網路規模

截止目前，Bondnet已經滲透控制了大約15,000台伺服器主機；

每天，將近有2000台主機相當於12,000個CPU內核被Bondnet控制使用；

被控肉雞伺服器CPU內核數從1至64不等；

每天，Bondnet的新增肉雞主機和丟棄主機大約都為500台左右；

Bondnet殭屍網路的被控受害者伺服器遍布全球141個國家。

Bondnet的感染方式

我們在香港發現的一個感染案例顯示，攻擊者利用PhpMyAdmin的脆弱配置上傳部署了惡意DLL和加密VB腳本，這些惡意文件具備免殺能力，多個受害者系統的殺毒軟體也難以檢測識別。之後，我們發現攻擊者以這種相同的攻擊模式和網路基礎架構，利用不同的攻擊向量和應用軟體漏洞，對全球的不同伺服器發起了攻擊滲透。我們於2017年1月通過全網感知系統探測到了Bondnet。以下為Bondnet的近期被控受害主機分布圖：

在這些被控的受害主機中，大部分被用來進行數字貨幣的挖礦，其它則被用來部署惡意軟體或當成C&C端使用。同時，攻擊者還利用其中一些被控主機隱藏在合法主機之間，繼續擴大殭屍網路攻擊感染範圍。以下為被控主機的大致系統分類：

Bondnet的攻擊感染技術

攻擊者主要使用了一些老舊的公開漏洞以及用戶名/密碼組合對Windows伺服器進行入侵嘗試，攻擊向量包括phpMyAdmin的配置錯誤漏洞、Jboss漏洞、Oracle Web應用測試套件、ElasticSearch搜索伺服器、MSSQL伺服器、Apache Tomcat以及Weblogic等中間件應用和其它應用服務。各種應用程序的利用佔比如下：

所有這些攻擊，最終都會實現一系列VB腳本、RAT遠控和數字加密貨幣挖礦程序（Miner)的下載執行，我們以攻擊者對MySQL的入侵攻擊為例進行解剖分析。

對MySQL入侵攻擊的分析

首先，感染初始階段通過MySQL命令INTO DUMPFILE植入文件，之後利用MySQL插件特性進行載入執行。通常來說，這些命令在默認情況下是不能運行的，只有在獲得一定的資料庫許可權之後才能執行。另外，入侵攻擊Payload是經過混淆的VB腳本，且在DLL載入進入MySQL進程時，調用其中的allcone輸出函數並有效執行。其次，整個攻擊感染過程都能完美逃過各種殺毒軟體的啟發式識別掃描。當然，所有這些操作都基於攻擊者獲取到的MySQL資料庫較高控制許可權。以下為我們感知探測到的MySQL入侵操作：

由於一些應用服務配置的脆弱安全機制，導致在此過程中使用的混淆代碼可以成功繞過大多安全防護措施。與現在普遍使用的PowerShell相比，VBS編碼很難記錄和訪問WMI實體，且很少被要求進行安全審核。另外，VB語言還具有向後兼容性，適用於早期的2003和2008伺服器操作系統。

VBS Payload

在這裡，VB腳本的Payload首先完成系統版本、CPU內核數、使用語言以及網路連接等系統信息的收集，之後，攻擊者再根據這些信息選擇後續需要上傳安裝的惡意軟體。另外，可能由於防火長城（Great Firewall）會對一些境外通信阻斷的原因，在這裡攻擊者主要把系統語言用來區分中國境內和境外被控肉雞伺服器。大多數被入侵控制的受害伺服器都會被攻擊者安裝一個挖礦程序（Miner）和一個後門，而中國境內的被控主機則會被攻擊者安裝一個瀏覽器廣告劫持程序。以下為被混淆處理的Payload VB腳本代碼：

挖礦程序Miner

挖礦程序Miner的安裝，根據攻擊者對不同數字加密貨幣的挖掘需求，而從攻擊者控制管理的網站中下載安裝匹配的挖礦程序，但目標首選是Monero（門羅幣），其它可選的數字貨幣還包括能兌換成美元的ByteCoin、RieCoin和ZCash。為了獲得挖礦程序，植入受害主機的惡意軟體會通過HTTP 4000埠方式與被控伺服器池中的一台寫入硬編碼文件的伺服器進行通信連接，請求安裝最新版本挖礦程序。最終，惡意軟體還會確保運行的挖礦程序能實現持久駐留、定製任務、定時激活和自啟動等功能。以下為挖礦程序的一個定製任務示例：

WMI 木馬

植入受害主機的後門是攻擊者設置從名為mytest01234的Amazon雲存儲伺服器中下載的WMI遠控，它利用MOF文件提權方法進入安裝植入，並設置為每天晚上23點啟動運行。該後門通過從WMI函數中繼承構造了一個名為ASEventConsumerdr的WMI provider類，這樣攻擊者可以在特定時間段內把代碼執行等惡意操作偽裝成WMI事件進行實施，真正達到隱蔽、簡單而有效的目的。

另外，該後門還能開啟受害主機的Guest賬戶，重置密碼，使得攻擊者在必要時候可以遠程通過RDP、SMB和RPC等方式連接控制。當然，它還能進一步收集以下系統信息和元數據發往攻擊者的C&C端：

電腦名稱

RDP 埠

Guest賬戶用戶名

系統版本

運行的CPU處理器數量

系統正常運行時間

原始可用的感染載體

受害主機是否為中文操作系統

系統語言

CPU架構（32位/64位）

這些信息被重新編碼為一串數字，並最終形成對應的兩位ASCII碼值被以HTTP方式發送出去：

最後，受害主機還會通過8080埠向C&C伺服器mst.mymst007.info請求下載一份命令執行文件，進行對照執行。其執行命令都為混淆的VB代碼，編碼方式與發往C&C端的元數據類似。解碼後可以發現，這些命令代碼被以內置的編程語言功能進行實現，避免向受害主機的磁碟寫入和其它安全防護機制的發現。

另外，我們從命令執行文件中發現了一個來自C&C伺服器的文件jk.zip，它是最新版本的挖礦程序安裝腳本。但奇怪的是，該文件安裝之後在系統中被保存為xw.tmp，但執行之後便失去與C&C伺服器的固有命令控制聯繫。從我們收集到的多個版本的挖礦程序安裝腳本可以發現，其挖礦程序的安裝執行都大致相同。

攻擊者對Bondnet殭屍網路的控制

在每一台被控受害主機遠程連接的C&C伺服器中，攻擊者安裝架設了一個小型的網頁伺服器（Webserver）作為管理控制之用，該Webserver為開源的Golang語言所編寫。攻擊者在其中添加了諸如受害主機狀態跟蹤和磁碟文件AES加密等group組功能特性，為了逃避受害主機端的安全審計和防火牆提示，攻擊者在C&C伺服器中提供的外部服務文件多為.asp和.zip格式。

C&C伺服器開啟了8080埠監聽，允許受害主機執行以下操作：

在C&C端的網頁管理控制伺服器中，都有一個需要輸入用戶名密碼進行身份認證的管理員控制後台，但非常有意思的是，我們利用繞過技術成功實現了後台登入，所有託管文件都一覽無遺！

攻擊者對創建命令和控制實例後，並通過RDP方式遠程連接受害主機，另外其中名為 ALL-HFS.zip或main.zip的壓縮文件中還還包含了具體的C&C伺服器IP、開源服務管理程序和命令文件。名為32.bat的批處理文件運行之後，將會在受害主機內安裝與IIS主機進程同名的w3wp服務。但有時候，攻擊者和有些C&C伺服器不都會創建all.asp文件保存被控主機木馬客戶端發送過來的信息。

攻擊利用的網路架構

Bondnet的整個網路攻擊架構都由一些被控受害主機伺服器組成，它們都有著特定的任務角色劃分，如C&C伺服器、文件共享伺服器和掃描探測伺服器等。

為了尋找新的攻擊目標，攻擊者還利用了黑客論壇中的一個TCP埠掃描工具WinEggDrop，在給定IP列表和埠範圍之後，就可以自動掃描發現相關目標。同時，攻擊者還會利用掃描和其它伺服器識別不同目標網路內應用程序（如 Apache、Struts2、MSSQL和phpMyAdmin 等）存在的未修復漏洞，而其它被控伺服器有時還被用來向不同受害主機以HTTP 4000埠部署分配挖礦程序。

另外，攻擊者還在一些文件共享伺服器中部署了與C&C伺服器相同的Webserver。如：

與被控主機組成的網路攻擊架構不同，攻擊者利用Amazon S3 bucket雲存儲伺服器託管入侵感染所用到的WMI木馬文件。

到底誰是Bond007.01？

據我們跟蹤發現，Bondnet的幕後運營者可能為Bond007.01，其昵稱leebond986也多次出現在其編譯的多個挖礦程序代碼之中。從他使用的代碼習慣和程序架構來看，我們認為其攻擊活動可能只是個人行為，並不出自團隊組織。

我們有多種證據和理由認為Bond007.01來自中國，因為：

在中文和非中文網站技術參考資料中，攻擊者首選中文網站進行代碼的複製粘貼；

攻擊者對中文系統被控受害主機的處理與其它語系受害主機不同；

Bondnet C&C伺服器某些程序目錄被在中文系統中編譯過。如下：

檢測與清除

下載

使用GuardiCore開發的檢測清除工具進行清除：

或者手工對以下Bondnet痕迹進行識別清除：

日誌文件：

WMI木

馬：

在Powershell環境下，運行以下命令檢測木馬是否被植入：

如果結果中包含一個名為ASEventConsumerdr的實例，則可能中招了：

之後，運行以下命令進行清除：

挖礦程序Miner

用以下命令檢查定時任務中包含「gm」、「ngm」或「cell」的批處理服務：

有時候，植入木馬會直接運行挖礦程序，此時需要手工識別和清除挖礦進程。（一般為smssm.exe、msdc.exe、z64.exe、servies.exe）

後門賬戶

禁用或檢查Guest賬戶；

清除未知身份用戶，如webadmin；

非必要時，關閉RDP連接。

總結

Bondnet殭屍網路的主要目標是利用大量被控受害伺服器進行數字加密貨幣（Cryptocurrency）的挖掘，因此，它主要以多CPU內核的伺服器為入侵控制目標，一些個人電腦和IoT設備則不在其攻擊範圍之內。隨著比特幣（Bitcoin）挖掘業務和市場轉向一些大型商業團隊之後，其它非傳統的數字加密貨幣（Cryptocurrency）挖掘仍然有利可圖，尤其是在不需要耗費任何電力成本的情況下。

雖然對大多企業來說，每台伺服器每年的電費可能為1000到2000$美元不等，但這還不是問題的關鍵，Bondnet殭屍網路通過控制企業伺服器，可以實現信息竊取、傳播惡意軟體或發起其它非法攻擊。現在執行的挖礦任務，在未來可能會被攻擊者發展成為勒索攻擊、大規模數據竊取或進一步的內網滲透入侵行為。

IOC信息

DNS – mst.mymst007.info

挖礦程序Miner:

smssm.exe

msdc.exe

z64.exe

servies.exe

其它詳細IOC信息請參考GuardiCore

報告

附件。

*參考來源：guardicore，FreeBuf小編clouds編譯，轉載請註明來自FreeBuf.COM