概述

1、剖析源起

CNCERT对监测发明的海量攻击事务举行综合剖析，，，，，，，，挖掘种种攻击资源在行为、归属等方面的相似性关系，，，，，，，，进而将网络攻击事务转换为“攻击团伙”的视角，，，，，，，，并对各攻击团伙举行恒久跟踪。。。。。。。。

近期，，，，，，，，CNCERT与3377体育网官网入口公司团结剖析挖掘的某个团伙经外部情报比对标定为“8220”挖矿团伙。。。。。。。。通过CNCERT的数据发明，，，，，，，，该团伙近期在互联网上较为活跃，，，，，，，，一连通过Tsunami僵尸网络举行控制熏染，，，，，，，，且其掌握的挖矿木马也在一连迭代，，，，，，，，一直增强其恶意挖矿的顺应能力。。。。。。。。

2、“8220”黑客攻击团伙近期活跃情形

“8220”团伙是自2017年以来一连活跃的挖矿团伙，，，，，，，，该团伙善于使用反序列化、未授权会见等误差攻击Windows和Linux服务器，，，，，，，，随后通过下载僵尸网络程序、挖矿程序、端口扫描工具等对主机举行控制和恶意使用。。。。。。。。

现在挖矿是该团伙主要活跃领域，，，，，，，，凭证CNCERT近期抽样监测，，，，，，，，该团伙渗透了4千台左右的装备并撒播挖矿木马。。。。。。。。针对差别操作系统，，，，，，，，“8220”团伙执行会响应的程序模？？？？？？椋涸贚inux平台释放的木马程序会关闭防火墙、杀死竞争敌手程序、下载恶意载荷，，，，，，，，并执行由开源挖矿程序XMRig改编的挖矿程序，，，，，，，，进而控制主机实验恶意挖矿;在Windows平台的恶意程序通过解密恶意载荷下载地点，，，，，，，，校验钱包及矿池地点，，，，，，，，建设线程使命天生矿池设置文件，，，，，，，，最终建设快捷方法自启动项来长期化运行挖矿程序。。。。。。。。

别的，，，，，，，，CNCERT近期监测跟踪发明，，，，，，，，该团伙近期一连撒播Tsunami僵尸网络程序，，，，，，，，凭证现在抽样效果剖析，，，，，，，，被该团伙控制的Tsunami僵尸网络受控主机IP数目凌驾千台。。。。。。。。Tsunami僵尸程序的主要功效为远程控制、DDoS攻击和其他恶意行为，，，，，，，，因此8220团伙除恶意挖矿外，，，，，，，，也可提倡DDoS攻击，，，，，，，，已不但纯是开展恶意挖矿的黑客团伙。。。。。。。。

CNCERT建议，，，，，，，，对袒露在公网上的应用服务使用高强度口令及认证机制，，，，，，，，按期对服务器举行加固，，，，，，，，尽早修复服务器相关高危误差，，，，，，，，实时更新补丁。。。。。。。。当发明主机保存挖矿木马及僵尸网络程序时，，，，，，，，务必连忙举行全方位的检查处置惩罚。。。。。。。。

近期攻击资源挖掘剖析

1、团伙资源图谱

下图为CNCERT挖掘出来的该团伙近期的攻击资源图谱，，，，，，，，包括样本、恶意样本下载地点等。。。。。。。。

2、恶意样本下载地点剖析

对现在捕获到的8220团伙的放马URL举行剖析，，，，，，，，发明该团伙的恶意样本下载地点在路径上偏好使用bashirc.i686、masscan、x64b、scan、hxx等字符串，，，，，，，，如下表所示：

表：部分恶意样本下载地点及对应文件路径偏好表

恶意样本下载地点举例 文件路径偏好

http://80.71.158.96/bashirc.i686 bashirc.i686

http://a.oracleservice.top/bashirc.i686

http://194.38.20.31/masscan masscan

http://80.71.158.96/masscan

http://bash.givemexyz.in/x64b x64b

http://89.41.182.160 /x64b

http://80.71.158.96/scan scan

http://bash.givemexyz.in/scan

http://80.71.158.96/hxx hxx

http://89.41.182.160/hxx

http://89.41.182.160/x86_64 x86_64

http://185.157.160.214/x86_64

3、恶意样同族族剖析

阻止现在，，，，，，，，捕获到该团伙的恶意样同族族及变种如下表所示。。。。。。。。

表：恶意样同族族、功效、种类

样同族族 样本功效 种类

Tsunami 远程控制、DDoS攻击和其他恶意行为 6类

CoinMiner 下载恶意载荷、执行挖矿 10类

Portscan 端口扫描 1类

3.1、Tsunami僵尸网络程序剖析

Tsunami是盛行的僵尸网络程序家族。。。。。。。。该程序的C2服务器与受控主机之间通过IRC协议举行控制和通讯，，，，，，，，其功效包括远程控制、DDoS攻击和其他恶意行为。。。。。。。。CNCERT现在检测到8220团伙使用的该家族的恶意样本共计6种，，，，，，，，如下表所示：

表：Tsunami家族的恶意样本名、MD5

恶意样本名 样本MD5 C2地点

x32b ee48aa6068988649e41febfa0e3b2169 c4k.xpl.pwndns.pw、104.244.75.25

bashirc.i686 0ba9e6dcfc7451e386704b2846b7e440 51.255.171.23

bashirc.x86_64 63a86932a5bad5da32ebd1689aa814b3 51.255.171.23

x64b c4d44eed4916675dd408ff0b3562fb1f 104.244.75.25

ox44oh2x9.dll 9e935bedb7801200b407febdb793951e 104.168.71.132

3z8a7kr4z.dll b2755fc18ae77bc86322409e82a02753 104.168.71.132

该类僵程序通过向被控制装备发送种种指令下令，，，，，，，，来提倡对应的DDOS攻击的功效，，，，，，，，同时该程序还提供功效指令，，，，，，，，例“GET”文件下载功效。。。。。。。。

3.2、CoinMiner挖矿样天职析

8220挖矿团伙在Windows与Linux双平台均可举行恶意载荷下载及挖矿，，，，，，，，并且在差别的平台设置响应的矿池地点。。。。。。。。

? Linux平台

捕获到该团伙在Linux平台上的木马，，，，，，，，如下表所示：

表：Linux平台恶意样本信息

恶意文件名 样本MD5 病毒名

7ff1601a0291bd214573956dcda33230.virus 7ff1601a0291bd214573956dcda33230 Trojan.Linux.CoinMiner.Botnet

dbused dc3d2e17df6cef8df41ce8b0eba99291 Virus.Linux.CoinMiner

X86_x64 eb2f5e1b8f818cf6a7dafe78aea62c93 Trojan.Linux.CoinMiner.Botnet

i686 101ce170dafe1d352680ce0934bfb37e Trojan.Linux.CoinMiner.Botnet

Linux平台下的矿池及钱包地点如下表所示。。。。。。。。

表：矿池及钱包地点

矿池地点 钱包地点

c4k-rx0.pwndns.pw 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

146.59.198.38

pool.supportxmr.com

? Windows平台

捕获到该团伙如下在Windos平台上的木马，，，，，，，，如下表所示：

表：Windows平台恶意样本信息

恶意文件名 样本MD5 病毒名

mywindows.exe 08e7d711e13e1e95bbd5dc576d90f372 Trojan.Win32.CoinMiner.Botnet

oracleservice.exe 0958fa69ba0e6645c42215c5325d8f76 Trojan.Win32.8220.Coinminer

oracleservice.exe 6e7c0ff683d771875cd7edd2ed7b72e2 Trojan.Win32.8220.Coinminer

oracleservice.exe 2559e97c13e731d9f37b1630dff2bb1e Trojan.Win32.8220.Coinminer

oracleservice.exe b2d3f97fa0a66683e217b1f06ec9c4c8 Trojan.Win32.8220.Coinminer

xmrig.exe f0cf1d3d9ed23166ff6c1f3deece19b4 Virus.Win32.CoinMiner

下表为4个样本视察到的泛起时间以及样本文件的大。。。。。。。。，，，，，，由此可看出，，，，，，，，在恶意挖矿方面，，，，，，，，该团伙具有较为一连的更新能力。。。。。。。。

表：差别样本泛起时间的转变情形

样本MD5 最早泛起时间 最晚泛起时间 文件巨细

0958fa69ba0e6645c42215c5325d8f76 2021/10/25 2021/11/10 2234368

6e7c0ff683d771875cd7edd2ed7b72e2 2021/11/14 2022/1/21 2234368

2559e97c13e731d9f37b1630dff2bb1e 2022/1/20 2022/3/26 2468864

b2d3f97fa0a66683e217b1f06ec9c4c8 2022/3/26

2467328

Windows平台下的矿池及钱包地点如下表所示。。。。。。。。

表：Windows平台下挖矿程序的矿池及钱包地点

矿池地点 钱包地点

xmr.givemexyz.in 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

198.23.214.117:8080

212.114.52.24:8080

3.3、Portscan端口扫描木马剖析

该团伙接纳端口扫描手段来发明其他可用资源，，，，，，，，之后再举行攻击爆破等系列行为。。。。。。。。以Trojan.Win32.PortScan为例，，，，，，，，相关剖析如下。。。。。。。。

恶意程序首先会判断传入值是否小于即是2，，，，，，，，若是是，，，，，，，，就会退出程序，，，，，，，，由于该程序只支持RedHat linux。。。。。。。。若是修改这里的传入值，，，，，，，，后续依旧会退出，，，，，，，，并不可动态调试，，，，，，，，故后续内容为静态剖析。。。。。。。。

4、IP及域名资源剖析

现在捕获的8220攻击团伙的IP类型的攻击资源，，，，，，，，主要漫衍美国、乌克兰等国家。。。。。。。。

表：IP类型的团伙资源

IP IP功效 所属国家 所属地区

194.38.20.31 放马服务器IP 乌克兰 基辅

80.71.158.96 放马服务器IP 乌克兰 第聂伯罗彼得罗夫斯克州

45.61.184.118 放马服务器IP 美国 佛罗里达州 迈阿密

212.114.52.24 放马服务器IP 德国 黑森州 美因河畔法兰克福

209.141.59.139 放马服务器IP 美国 内华达州 拉斯维加斯

89.41.182.160 放马服务器IP 罗马尼亚 布加勒斯特

205.185.118.119 放马服务器IP 美国 内华达州 拉斯维加斯

91.198.77.78 放马服务器IP 荷兰 阿姆斯特丹

104.244.75.25 C2 卢森堡 卢森堡区

51.255.171.23 C2 法国 上法兰西大区

104.168.71.132 C2 美国 纽约州

现在捕获的8220攻击团伙的域名类型攻击资源如下表所示。。。。。。。。

表：域名类型的团伙资源

域名 域名功效 注册时间 逾期时间 注册商

bash.givemexyz.in 放马域名 2020/9/25 2022/9/25 TucowsInc.

a.oracleservice.top 放马域名 2021/11/3 2022/11/3 TucowsInc.

c4k.xpl.pwndns.pw C2域名 2019/3/7 2023/3/7 Sarek

恶意样本撒播及熏染控制剖析

1、撒播面剖析

为CNCERT抽样监测发明的近期该团伙恶意样本撒播规模的活跃情形。。。。。。。。在近期，，，，，，，，单日对上千台主机乐成实验误差攻击，，，，，，，，并下载挖矿、僵尸网络程序等恶意样本。。。。。。。。

抽样监测发明，，，，，，，，上述团伙撒播目的IP所在地区主要集中在北京、广东、上海等省份都会，，，，，，，，区域占比图如下所示：

2、Tsunami僵尸网络控制情形剖析

CNCERT对团伙控制的Tsunami僵尸网络举行抽样监测，，，，，，，，在2022年1月至4月，，，，，，，，共抽样发明受控的主机IP地点近2000个。。。。。。。。下图为逐日熏染的主机IP数目情形。。。。。。。。

其中，，，，，，，，北京、重庆、上海熏染的受到该团伙掌握的Tsunami僵尸网络控制的主机IP数目最多，，，，，，，，划分为432个、298个、269个。。。。。。。。受控主机地IP地理位置漫衍情形如下。。。。。。。。

监测发明，，，，，，，，该团伙控制的僵尸网络受控主机IP类型中，，，，，，，，境内家庭和境内IDC划分占39.21%、36.21%。。。。。。。。其中IDC类型的IP不少。。。。。。。。

“8220”团伙样本举例剖析

1、Tsunami僵尸网络程序剖析

该程序在运行时首先通过获取字典文件里的数据，，，，，，，，随机天生以下信息：

nick = XJZGGP

ident = ECGLO

user = GDID

chan = “#.br”

key = “ircbot456@”

server = 0

在建设毗连以后，，，，，，，，向目的发送一串牢靠名堂的数据，，，，，，，，数据内容为之前获取的内容。。。。。。。。

发送数据包内容后，，，，，，，，期待吸收攻击者的控制下令，，，，，，，，吸收到的数据如下：

之后会凭证吸收差别的指令，，，，，，，，可提倡差别方法的DDoS攻击，，，，，，，，例“PAN”代表Syn flood攻击，，，，，，，，“UDP”代表udp flood攻击，，，，，，，，如下图：

2、CoinMiner挖矿样天职析

? Linux平台

以下为两个样本举例剖析。。。。。。。。

恶意样本一：Linux载荷下载程序7ff1601a0291bd214573956dcda33230.virus

该样本的主要功效是关闭防火墙、测试毗连矿池等地点、执行下载恶意载荷、杀死竞争敌手的挖矿程序等。。。。。。。。

首先，，，，，，，，关闭selinux防火墙，，，，，，，，并将历程的文件数目修改为50000，，，，，，，，如下图：

之后，，，，，，，，划分对pool.supportxmr.com(矿池)、bash.givemexyz.in（载荷下载链接域名）提倡ping测试。。。。。。。。如测试正常，，，，，，，，则最先下载恶意载荷，，，，，，，，并将下载文件重命名为dbused。。。。。。。。

最后杀死竞争敌手的挖矿程序，，，，，，，，最大化使用系统资源，，，，，，，，如下图：

恶意样本二：Linux挖矿程序dbused

挖矿程序接纳开源挖矿程序XMRig编译而成，，，，，，，，样本被加了upx壳，，，，，，，，并使用特殊字符串“pwnrig”举行标记。。。。。。。。XMRig编译后如下图所示：

设置矿池地点信息。。。。。。。。

设置矿池的账户密码信息。。。。。。。。

设置CPU最大线程及内存池大。。。。。。。。，，，，，，以高效率运行。。。。。。。。

最后举行挖矿，，，，，，，，可看到挖矿流量。。。。。。。。

? Windows平台

以下划分剖析第一和第二到五个样本。。。。。。。。

恶意样本一：Windows挖矿程序mywindows.exe

该木马主要功效为解密出下载恶意载荷的URL、建设多线程天生矿池信息设置文件、设置挖矿程序自启动项等。。。。。。。。

该木马程序初始化之后首先解密出恶意载荷下载地点URL,如下图所示：

通过自界说算法划分对钱包地点、矿池地点盘算响应值，，，，，，，，之后对两个值举行校验，，，，，，，，若是不相同，，，，，，，，就会退出程序，，，，，，，，如下图所示：

随后天生ALmRPARcYN文件夹，，，，，，，，再通过建设线程使命，，，，，，，，拷贝自身存放在该使命目录下，，，，，，，，并天生经由base64编码的cfg设置文件，，，，，，，，文件内容为矿池信息，，，，，，，，如下图：

之后，，，，，，，，在启动项中建设一个Internet 快捷方法(.url)，，，，，，，，用于自启动运行，，，，，，，，如下图所示：

恶意样本二至五：Windows挖矿程序oracleservice.exe

现在捕获到该团伙名为oracleservice.exe 的样本攻击4个，，，，，，，，均为Trojan.Win32.8220.Coinminer挖矿木马。。。。。。。。除包括相同的代码部分外，，，，，，，，一直一连迭代转变中，，，，，，，，其中相同的代码如下图所示：

对策和建议

● 对袒露在公网上的应用服务使用高强度口令及认证机制，，，，，，，，阻止多个服务使用相同口令。。。。。。。。

● 按期对服务器举行加固，，，，，，，，尽早修复服务器Apache Struts、Tomcat、WebLogic等相关高危误差，，，，，，，，若有条件务必装置服务器端的清静软件。。。。。。。。

● 实时更新补。。。。。。。。，，，，，，建议开启自动更新功效装置系统补。。。。。。。。，，，，，，服务器应实时更新系统补丁。。。。。。。。

● 比照相关IOC，，，，，，，，发明是否保存主机被控行为。。。。。。。。

● 当发明主机保存挖矿木马及僵尸网络程序时，，，，，，，，务必连忙举行全方位的检查处置惩罚。。。。。。。。

附录：IOC

1、恶意样本下载地点

http[:]//80.71.158.96/bashirc.i686

http[:]//a.oracleservice.top/bashirc.i686

http[:]//89.41.182.160/bashirc.i686

http[:]//45.61.184.118/bashirc.i686

http[:]//bash.givemexyz.in/bashirc.i686

http[:]//209.141.59.139/bashirc.i686

http[:]//205.185.118.119/bashirc.i686

http[:]//185.157.160.214/bashirc.i686

http[:]//91.198.77.78/bashirc.i686

http[:]//bash.givemexyz.in/i686

http[:]//a.oracleservice.top/i686

http[:]//194.38.20.31/i686

http[:]//89.41.182.160/i686

http[:]//209.141.59.139/i686

http[:]//bash.givemexyz.in/xms.x86_64

http[:]//a.oracleservice.top/x86_64

http[:]//80.71.158.96/x86_64

http[:]//209.141.59.139/x86_64

http[:]//45.61.184.118/x86_64

http[:]//194.38.20.31/x86_64

http[:]//185.157.160.214/x86_64

http[:]//91.198.77.78/x86_64

http[:]//205.185.118.119/x86_64

http[:]//185.101.107.92/x86_64

http[:]//89.41.182.160/x86_64

http[:]//45.61.184.118/x86_64

http[:]//209.141.59.139/x86_64

http[:]//194.38.20.31/sshpass

http[:]//bash.givemexyz.in/x32b

http[:]//89.41.182.160/x32b

http[:]//a.oracleservice.top/x32b

http[:]//80.71.158.96/x32b

http[:]//bash.givemexyz.in/x64b

http[:]//89.41.182.160/x64b

http[:]//80.71.158.96/x64b

http[:]//a.oracleservice.top/x64b

http[:]//80.71.158.96/hxx

http[:]//89.41.182.160/hxx

http[:]//209.141.59.139/hxx

http[:]//bash.givemexyz.in/hxx

http[:]//209.141.59.139:80

http[:]//89.41.182.160:80

http[:]//194.38.20.31:80

http[:]//205.185.118.119:80

http[:]//209.141.59.139:80

http[:]//185.157.160.214:80

http[:]//80.71.158.96/masscan

http[:]//194.38.20.31/masscan

http[:]//194.38.20.31/banner

http[:]//bash.givemexyz.in/banner

http[:]//194.38.20.31/mywindows.exe

http[:]//89.41.182.160/mywindows.exe

http[:]//a.oracleservice.top/mywindows.exe

http[:]//209.141.59.139/scan

http[:]//89.41.182.160/scan

http[:]//bash.givemexyz.in/scan

http[:]//a.oracleservice.top/scan

http[:]//205.185.118.119/scan

http[:]//194.38.20.31/scan

http[:]//80.71.158.96/scan

http[:]//194.38.20.31/scan2

http[:]//205.185.118.119/scan2

http[:]//89.41.182.160/eii.py

http[:]//194.38.20.31/eii.py

http[:]//205.185.118.119/oracleservice.exe

http[:]//80.71.158.96/oracleservice.exe

http[:]//194.38.20.31/oracleservice.exe

http[:]//89.41.182.160/wxm.exe

http[:]//80.71.158.96/wxm.exe

http[:]//209.141.59.139/wxm.exe

http[:]//194.38.20.31/wxm.exe

http[:]//205.185.118.119/wxm.exe

2、恶意样本MD5

ee48aa6068988649e41febfa0e3b2169

0ba9e6dcfc7451e386704b2846b7e440

63a86932a5bad5da32ebd1689aa814b3

c4d44eed4916675dd408ff0b3562fb1f

b42183f226ab540fb07dd46088b382cf

7ff1601a0291bd214573956dcda33230

9e935bedb7801200b407febdb793951e

b2755fc18ae77bc86322409e82a02753

08e7d711e13e1e95bbd5dc576d90f372

eb2f5e1b8f818cf6a7dafe78aea62c93

101ce170dafe1d352680ce0934bfb37e

dc3d2e17df6cef8df41ce8b0eba99291

f0cf1d3d9ed23166ff6c1f3deece19b4

0958fa69ba0e6645c42215c5325d8f76

6e7c0ff683d771875cd7edd2ed7b72e2

2559e97c13e731d9f37b1630dff2bb1e

b2d3f97fa0a66683e217b1f06ec9c4c8

3、放马域名

a.oracleservice.top

bash.givemexyz.in

oracleservice.top

givemexyz.in

4、C2地点

c4k.xpl.pwndns.pw

104.244.75.25

51.255.171.23

104.168.71.132

5、样本下载服务器IP

194.38.20.31

80.71.158.96

45.61.184.118

212.114.52.24

209.141.59.139

89.41.182.160

205.185.118.119

91.198.77.78