DDG.Mining.Botnet 近期活動分析

今年 2 月 1 日，我們詳細分析了一個瞄準資料庫伺服器的挖礦殭屍網路DDG.Mining.Botnet。

近期，我們注意到該家族發布了新的版本 3011 ，在該更新版本部署的過程中，引發了埠 7379 及相關埠上的掃描流量異常。該版本中啟用了新的錢包，其在 2 個礦池裡累計收益已經超過 1,419 枚 XMR。最後值得注意的是，該版本可能還處於測試階段，或者只是一個過渡版本。

DDG 3011 版本的概要特徵如下：

7379 及相關埠上的掃描流量異常

近期，我們的ScanMon系統顯示 Redis 服務相關埠的掃描流量驟增，如下：

上圖中，與該掃描相關的關聯埠共計 7 個，分別是 ：

Redis 相關的三個：6379, 6380, 7379

SSH 相關的三個：22, 2222, 22222

HTTP 相關的一個：8000

我們在本文後續的樣本分析環節中可以發現，DDG 新版本 ddgs.3011 的掃描模式與上述 ScanMon 觀察到的現象非常契合。這足以證明，DDG 最新版本的活動引起了本輪 7379 及相關埠上的掃描行為。

樣本執行流程

我們捕獲了這次事件相關的核心樣本：

該樣本的執行流程如下：

新舊樣本最明顯的相似之處，是通過把 i.sh 腳本植入到 Linux 系統肉雞的 Crontab 中來實現持久駐留。新 i.sh 腳本內容如下：

ddgs.i686 通過 SSH / Redis 服務暴破、未授權訪問來入侵主機，暴破詞典如下：

然後，ddgs.i686 會嘗試在當前肉雞的 ~/.ssh/authorized_keys 中注入以下 SSH Pub Key：

ddgs.i686 樣本中內置了一個 ip:port 的 List，其中 2 個主要的165.225.157.157:8000 和165.227.149.151:8000 ，其他算是備用，全部列表見文末 IoC 部分。

樣本 ddgs.i686 啟動之後，會依次連接上述 ip:port 檢查是否可以訪問：

對每個成功握手的 ip:port ，ddgs.i686 都會嘗試向 hxxp:///slave 發送 HTTP POST 請求：

如果 C2 正常工作，則會返回一串用msgPack序列化編碼後的配置文件數據：

由於這串數據自定義了複雜的數據結構，沒能成功完美解碼，經過 msgPack 通用反序列化再大概還原後如下：

結合配置文件和樣本分析，可以發現以下幾個關鍵點：

配置文件中提供了 Miner 程序的 URI、MD5 和保存到當前肉雞的文件路徑。ddgs.i686 會根據 URI，通過 HTTP GET 請求從 http:///Miner_URI處下載 Miner 程序並另存到指定路徑；

配置文件中提供了最新的 i.sh 文件下載路徑，ddgs.i686 會把這個路徑填充到定時任務的命令字串中；

配置文件中指定了要掃描的 dstport，可以看到針對 Redis 服務，指定 ddgs.i686 掃描 (6379, 6380, 7379) 三個埠，針對 SSH 服務，指定掃描 (22, 2222, 22222) 三個埠。（這裡可以解釋 ScanMon 上 7 個埠之間的伴生關係。但 Redis 服務相關的 3 個埠與 SSH 服務相關的 3 個埠之間 Shared scip 數量比較少，原因可能跟蜜罐部署以及蜜罐的網路配置有關）

配置文件中的 GenLan / GenAAA 對應生成 Scan Target IP 的生成策略。樣本中的 Scan Target IP 生成策略仍然同於舊版本的 ddg.miner： 生成的內網網段 Target IP 範圍如下：

10.Y.x.x/16 (Y 為當前內網 IP B 段的值)

172.16.x.x/16

192.168.x.x/16

當前主機的公網 IP 地址 WAN_IP ，然後在 WAN_IP/8 範圍內生成公網網段 Target IP 。

但是樣本內有個掃描控制策略，從行為上看，針對內網 Target IP ，只掃描 SSH 服務相關的 3 個埠，我的虛擬機上運行結果只會掃 SSH 服務，看起來只有獲取到了網卡的外網地址，才會針對外網的 Target IP 掃描 Redis 相關的埠。

配置文件中給出了 ddgs 樣本的更新配置：最新的版本號、本地另存的文件路徑、C2 端下載的 URI 以及樣本的 MD5，本地已有的 ddgs.i686 樣本會根據這些信息對本地樣本進行更新。

挖礦

樣本獲取配置文件後，會根據配置文件中 Miner 的信息，去下載 2t3ik.p 和 2t3ik.m到當前失陷主機的 /tmp/ 目錄。這兩個文件是 XMRig 2.5.2 編譯的礦機程序，具體區別不明，關鍵信息都一致：

錢包地址（新出現）：42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

涉及的礦池：

其中 47.90.204.154:443 是首選礦池地址，但會 Reset 掉網路請求，該主機位於 阿里雲 ，猜測是團伙背後的 Miner Report C&C 主機；

在礦池 supportxmr.com 中的 TotalPaid 為 150.5194868540 XMR ，按當前市價摺合人民幣 181,311.3 ￥ ；

在礦池 nanopool.org 中TotalPaid: 1268.5880545439 XMR ，按當前市價摺合人民幣 1527,519.6￥。

3011 是一個測試或過渡版本

最後值得一提的是，ddgs.i686 是 32bit ELF 文件，而它下載到的2t3ik.p 和 2t3ik.m 都是 64bit ELF 文件，這樣一來，在真實環境中，礦機程序並沒有辦法運行。而且，版本 3011 只有hxxp://165.225.157.157:8000/static/3011/ddgs.i686 這一個核心樣本，不像版本 3010 ，同時存在 ddgs.i686 和 ddgs.x86_64 兩個核心樣本。所以，可以認為版本 3011 目前處於測試階段，或者只是一個過渡版本。

IoC

Sample

Full IP List

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！