在物联网设备上进行加密货币挖矿一直是一个有争议的话题，因为物联网设备的计算能力一般不强。但黑市上仍有提供攻击联网设备加密货币挖矿的恶意软件。

研究人员部署的蜜罐探测器近期检测到与IP地址192.158.228.46相关的挖矿僵尸，该蜜罐探测器可以模拟SSH、telnet、FTP等服务。该IP地址搜索SSH和IOT相关的端口，包括22、2222和502端口。在特定攻击中，IP会在22端口上加载SSH服务。该攻击适用于所有运行SSH服务的服务器和联网设备。

潜在的金融诈骗站点也在挖矿

僵尸主机会搜寻打开了远程桌面协议（Remote Desktop Protoco，RDP）端口的设备，攻击者可以利用该端口有漏洞的设备。一旦攻击者发现设备可以被利用，就会尝试运行wget命令来下载一个脚本，随后运行该脚本并安装恶意软件。

操作的模型是僵尸使用hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/来存放恶意脚本mservice_2_5.sh。该脚本随后会从hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgz处下载文件并保存到/tmp文件夹目录下。（该攻击活动应该是中国人发起的，因为域名翻译过来是“一路赚钱”）。这种技术广泛应用于针对Linux操作系统的服务器利用技术。这种僵尸可以在Linux系统上加载挖矿机，僵尸还有一个驻留机制添加在installer脚本中，脚本可以在crontab（定时任务）中添加任务。

在检查脚本尝试下载文件的网站时，研究人员发现该站点是一个金融诈骗网站。从攻击者的行为频段，第一个URL应该是跳板点（jumping-off point）。也就是说，如果该链接被拦截了，攻击者转向另一个域名就可以继续运营了。

通过社会工程攻击，用户会被诱骗安装挖矿机。诈骗站点看起来是一个普通的网站，但研究人员分析发现有一篇博客hxxps://www[.]zjian[.]blog/148[.]html和视频教学页面hxxps://www[.]bilibili[.]com/video/av19589235/，讲述了如何进行帮助挖矿。

技术细节

mservice_2_5.sh脚本运行后，首先ping baidu.com来检查网络连接状态。

图1. 脚本检查网络连接

然后确定运行的操作系统。

图2. 判断OS平台

然后恶意软件会设定user ID，如果开始没有提供user ID参数，就设置为2。设备名也被设置为命令的输出：

图3. 设置设备名

然后设置hugepage和memlock来增强设备的性能，这样可以让更多的运算能力用于加密货币挖矿：

图4. 设置Hugepage和memlock

这些都设置完成后，脚本就会下载挖矿机，并且会伪装成 libhwloc4库，然后提取到/opt文件夹，运行下面的命令:

图5. 下载挖矿机

恶意脚本还含有一个基本的驻留机制来确保设备重启后继续挖矿：

图6. 恶意脚本使用驻留机制

图7. 在被攻击的主机上创建的文件结构

文件cmd.txt列出了运行mservice二进制文件的参数，然后会安装真实的挖矿机YiluzhuanqianSer：

图8. 安装的加密货币挖矿机

然后在conf.json文件中有一个webshell/backdoor。同时，work目录含有2个二进制文件和含有运行挖矿机命令的文件cmd.txt。参数保存在workers.json文件中：

图9. conf.json中的Web shell/backdoor

图10. 工作目录

图11. workers.json中的参数

前面也提到过，这类针对联网设备进行挖矿的活动并不少见。而且，使用僵尸来攻击IoT设备的安全事件也常常出现在新闻中，其中最著名就是Mirai僵尸网络。使用僵尸网络可能是攻击者使用IoT设备最主流的方式之一。单个被黑的设备可能运算能力不足，但当恶意软件以僵尸的形式传播时，一个挖矿僵尸军团就出现了，而且挖矿能力十足。

缓解

在用户设备上进行加密货币挖矿会消耗大量电量并且耗尽计算能力。因此，需要使用标准的安全措施来缓解风险，比如：

· 定期更新设备固件来避免利用已知漏洞的攻击；

· 改变设备的默认凭证，使用强口令来避免未授权的访问；

· 注意已知的攻击单元，如社会攻击链接、附件、不同网站的文件、第三方应用、邮件等。

IOCs

文件名：

mservice_2_5.sh yilu.tgz yilu_2_5.tgz

URL: hxxp://p1v24z97c[.]bkt[.]clouddn[.]com hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_5[.]tgz

IP地址: 114.114.114.114 192.158.22.46

目的端口：

1993, 1992

相关哈希值（COINMINER_TOOLXMR.O-ELF，SHA256）:

· e4e718441bc379e011c012d98760636ec40e567ce95f621ce422f5054fc03a4a

· 2077c940e6b0be338d57137f972b36c05214b2c65076812e441149b904dfc1a8

· adb0399e0f45c86685e44516ea08cf785d840e7de4ef0ec9141d762c99a4d2fe

· 6bbb4842e4381e4b5f95c1c488a88b04268f17cc59113ce4cd897ecafd0aa94b