DGG挖矿僵尸网络最新变种分析

  • A+
所属分类:未分类

*本文作者:Sampson,

背景

近期通过蜜罐监测到DGG挖矿僵尸网络的最新网络活动,发现该僵尸网络病毒程序已升级到4000版本。DDG是一个主要专注扫描SSH、Redis数据库和OrientDB数据库服务器的门罗币挖矿僵尸网络,从2017年10月25日首次发现DDG僵尸网络,活动至今。

2019年4月26日清晨,捕获到挖矿脚本,注意到DDG更新到版本4000。

DGG挖矿僵尸网络最新变种分析

相应的恶意服务器上的DDGS最新的恶意样本文件,如下:

DGG挖矿僵尸网络最新变种分析

一、样本介绍

样本基本信息:

样本 MD5 内容
i.sh 78cce55239dd07ce69af011fff871c40  i.sh 脚本写入到 Crontab 中定期更新、运行
ddgs.i686 ef6aa42aa0fa26fb6ba8c0af02737585 32位DDG病毒
ddgs.x86_64 cd6d5fc0fbf8616a1387651432ee7b99 64位DDG病毒
vTtHH 42483ee317716f87687ddb79fedcb67b 挖矿程序

二、详细分析

1、i.sh脚本的脚本内容如下所示,主要包括三个作用:

DGG挖矿僵尸网络最新变种分析

(1)下载远程服务器上的i.sh脚本,并同步写入本地crontab;

(2)下载最新的DDG样本ddgs样本到本地修改名字并执行,通过ddgs.$(uname -m)来适配 i686 和 x86_64 的失陷主机;

(3)检测goozbcd版本的挖矿进程,并结束进程。

2、挖矿程序变更为vTtHH,命名规则有变化,不再是钱包地址的末尾5位。挖矿程序使用的IP地址如下:

104.130.210.206:8000
59.2.77.151:8000
104.130.210.206:8443
pool.supportxmr.com:443
xmr-asia1.nanopool.org: 14444

(1)相对于V3020的挖矿程序,增加了pool.supportxmr.com、xmr-asia1.nanopool.org矿池。

104.130.210.206:8000挖矿行为:

DGG挖矿僵尸网络最新变种分析

59.2.77.151:8000挖矿行为:

DGG挖矿僵尸网络最新变种分析

104.130.210.206:8443挖矿行为:

DGG挖矿僵尸网络最新变种分析

pool.supportxmr.com:443挖矿行为:

DGG挖矿僵尸网络最新变种分析

xmr-asia1.nanopool.org: 14444挖矿行为:

DGG挖矿僵尸网络最新变种分析

(2)通过IDA分析vTtHH挖矿程序,可知 XMR钱包地址:

DGG挖矿僵尸网络最新变种分析

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD
9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

Pool: nanopoolPaid: 34.337176692726 XMR

DGG挖矿僵尸网络最新变种分析

Pool: supportxmrPaid: 210.4775251541XMR

DGG挖矿僵尸网络最新变种分析

三、相关IOC

MD5

cd6d5fc0fbf8616a1387651432ee7b99

C2

109.237.25.145:8000

URL

http://109.237.25.145:8000/i.sh
http://109.237.25.145:8000/static/4000/ddgs.i686
http://109.237.25.145:8000/static/4000/ddgs.x86_64

附:其他平台检测结果:

Virustotal检测结果:

DGG挖矿僵尸网络最新变种分析

微步分析结果:

DGG挖矿僵尸网络最新变种分析

*本文作者:Sampson,

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: