关于“8220”黑客攻击团伙近期活跃情况的 挖掘分析报告 类型：攻击团伙挖掘分析 TAG：8220 团伙、挖矿、僵尸网络、Tsunami 僵尸网络、DDOS 一、概述 1、分析源起 CNCERT 对监测发现的海量攻击事件进行综合分析，挖掘各类攻击资源在行为、归 属等方面的相似性关系，进而将网络攻击事件转换为“攻击团伙”的视角，并对各攻击 团伙进行长期跟踪。 近期，CNCERT 与天融信公司联合分析挖掘的某个团伙经外部情报比对标定为 “8220”挖矿团伙。通过 CNCERT 的数据发现，该团伙近期在互联网上较为活跃，持续 通过 Tsunami 僵尸网络进行控制感染，且其掌握的挖矿木马也在持续迭代，不断增强其 恶意挖矿的适应能力。 2、“8220”黑客攻击团伙近期活跃情况 “8220”团伙是自 2017 年以来持续活跃的挖矿团伙，该团伙擅长利用反序列化、 未授权访问等漏洞攻击 Windows 和 Linux 服务器，随后通过下载僵尸网络程序、挖矿程 序、端口扫描工具等对主机进行控制和恶意利用。 目前挖矿是该团伙主要活跃领域，根据 CNCERT 近期抽样监测，该团伙渗透了 4 千 台左右的设备并传播挖矿木马。针对不同操作系统，“8220”团伙执行会相应的程序模 块：在 Linux 平台释放的木马程序会关闭防火墙、杀死竞争对手程序、下载恶意载荷， 并执行由开源挖矿程序 XMRig 改编的挖矿程序，进而控制主机实施恶意挖矿;在 Windows 平台的恶意程序通过解密恶意载荷下载地址，校验钱包及矿池地址，创建线程 任务生成矿池配置文件，最终创建快捷方式自启动项来持久化运行挖矿程序。 此外，CNCERT 近期监测跟踪发现，该团伙近期持续传播 Tsunami 僵尸网络程序， 根据目前抽样结果分析，被该团伙控制的 Tsunami 僵尸网络受控主机 IP 数量超过千台。 Tsunami 僵尸程序的主要功能为远程控制、DDoS 攻击和其他恶意行为，因此 8220 团伙 除恶意挖矿外，也可发起 DDoS 攻击，已不单纯是开展恶意挖矿的黑客团伙。 CNCERT 建议，对暴露在公网上的应用服务使用高强度口令及认证机制，定期对服 务器进行加固，尽早修复服务器相关高危漏洞，及时更新补丁。当发现主机存在挖矿木 马及僵尸网络程序时，务必立即进行全方位的检查处理。 - 1 - 二、近期攻击资源挖掘分析 1、团伙资源图谱 下图为 CNCERT 挖掘出来的该团伙近期的攻击资源图谱，包括样本、恶意样本下 载地址等。 图：攻击资源图谱概览 2、恶意样本下载地址分析 - 2 - 对目前捕获到的 8220 团伙的放马 URL 进行分析，发现该团伙的恶意样本下载地址 在路径上偏好使用 bashirc.i686、masscan、x64b、scan、hxx 等字符串，如下表所示： 表：部分恶意样本下载地址及对应文件路径偏好表 恶意样本下载地址举例 文件路径偏好 http://80.71.158.96/bashirc.i686 http://a.oracleservice.top/bashirc.i686 http://194.38.20.31/masscan http://80.71.158.96/masscan http://bash.givemexyz.in/x64b http://89.41.182.160 /x64b http://80.71.158.96/scan http://bash.givemexyz.in/scan http://80.71.158.96/hxx http://89.41.182.160/hxx http://89.41.182.160/x86_64 http://185.157.160.214/x86_64 bashirc.i686 masscan x64b scan hxx x86_64 3、恶意样本家族分析 截至目前，捕获到该团伙的恶意样本家族及变种如下表所示。 样本家族 Tsunami CoinMiner Portscan 表：恶意样本家族、功能、种类 样本功能 远程控制、DDoS 攻击和其他恶意行为 下载恶意载荷、执行挖矿 端口扫描 种类 6类 10 类 1类 3.1、Tsunami 僵尸网络程序分析 Tsunami 是流行的僵尸网络程序家族。该程序的 C2 服务器与受控主机之间通过 IRC 协议进行控制和通信，其功能包括远程控制、DDoS 攻击和其他恶意行为。CNCERT 目 前检测到 8220 团伙使用的该家族的恶意样本共计 6 种，如下表所示： 恶意样本名 x32b bashirc.i686 bashirc.x86_64 x64b ox44oh2x9.dll 3z8a7kr4z.dll 表：Tsunami 家族的恶意样本名、MD5 样本 MD5 C2 地址 ee48aa6068988649e41febfa0e3b2169 c4k.xpl.pwndns.pw 104.244.75.25 0ba9e6dcfc7451e386704b2846b7e440 51.255.171.23 63a86932a5bad5da32ebd1689aa814b3 51.255.171.23 c4d44eed4916675dd408ff0b3562fb1f 104.244.75.25 9e935bedb7801200b407febdb793951e 104.168.71.132 b2755fc18ae77bc86322409e82a02753 104.168.71.132 该类僵程序通过向被控制设备发送各类指令命令，来发起对应的 DDOS 攻击的功 能，同时该程序还提供功能指令，例“GET”文件下载功能。 - 3 - 3.2、CoinMiner 挖矿样本分析 8220 挖矿团伙在 Windows 与 Linux 双平台均可进行恶意载荷下载及挖矿，并且在 不同的平台配置相应的矿池地址。 ◆ Linux 平台 捕获到该团伙在 Linux 平台上的木马，如下表所示： 表：Linux 平台恶意样本信息 恶意文件名 样本 MD5 7ff1601a0291bd214573956dcda3 7ff1601a0291bd214573956d 3230.virus cda33230 dbused dc3d2e17df6cef8df41ce8b0e ba99291 X86_x64 eb2f5e1b8f818cf6a7dafe78ae a62c93 i686 101ce170dafe1d352680ce09 34bfb37e 病毒名 Trojan.Linux.CoinMiner .Botnet Virus.Linux.CoinMiner Trojan.Linux.CoinMiner .Botnet Trojan.Linux.CoinMiner .Botnet Linux 平台下的矿池及钱包地址如下表所示。 矿池地址 c4k-rx0.pwndns.pw 146.59.198.38 pool.supportxmr.com 表：矿池及钱包地址 钱包地址 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9Z dtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFX LVHGYH4moQ - 4 - ◆ Windows 平台 捕获到该团伙如下在 Windos 平台上的木马，如下表所示： 恶意文件名 mywindows.exe oracleservice.exe oracleservice.exe oracleservice.exe oracleservice.exe xmrig.exe 表：Windows 平台恶意样本信息 样本 MD5 病毒名 08e7d711e13e1e95bbd5dc576d90f372 Trojan.Win32.CoinMiner.Botnet 0958fa69ba0e6645c42215c5325d8f76 Trojan.Win32.8220.Coinminer 6e7c0ff683d771875cd7edd2ed7b72e2 Trojan.Win32.8220.Coinminer 2559e97c13e731d9f37b1630dff2bb1e Trojan.Win32.8220.Coinminer b2d3f97fa0a66683e217b1f06ec9c4c8 Trojan.Win32.8220.Coinminer f0cf1d3d9ed23166ff6c1f3deece19b4 Virus.Win32.CoinMiner 下表为 4 个样本观测到的出现时间以及样本文件的大小，由此可看出，在恶意挖矿 方面，该团伙具有较为持续的更新能力。 表：不同样本出现时间的变化情况 样本 MD5 最早出现时间 最晚出现时间 0958fa69ba0e6645c42215c5325d8f76 2021-10-25 2021-11-10 6e7c0ff683d771875cd7edd2ed7b72e2 2021-11-14 2022-01-21 2559e97c13e731d9f37b1630dff2bb1e 2022-01-20 2022-03-26 b2d3f97fa0a66683e217b1f06ec9c4c8 2022-03-26 文件大小 2234368 2234368 2468864 2467328 Windows 平台下的矿池及钱包地址如下表所示。 表：Windows 平台下挖矿程序的矿池及钱包地址 矿池地址 钱包地址 xmr.givemexyz.in 46E9UkTFqALXNh2mSbA7WGDoa2i6h4W VgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfj 198.23.214.117:8080 HbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 212.114.52.24:8080 3.3、Portscan 端口扫描木马分析 该团伙采用端口扫描手段来发现其他可用资源，之后再进行攻击爆破等系列行为。 以 Trojan.Win32.PortScan 为例，相关分析如下。 恶意程序首先会判断传入值是否小于等于 2，如果是，就会退出程序，因为该程序 只支持 RedHat linux。如果修改这里的传入值，后续依旧会退出，并不能动态调试，故 后续内容为静态分析。 之后的主要功能是建立通信，进行端口扫描行为，如下图所示： - 5 - 4、IP 及域名资源分析 目前捕获的 8220 攻击团伙的 IP 类型的攻击资源，主要分布美国、乌克兰等国家。 IP 194.38.20.31 80.71.158.96 45